Hackerkonkurransen Pwn2Own burde være kjent for de fleste, men siden i fjor har HP ZDI også arrangert en mobilorientert utgave av den samme konkurransen. I Mobile Pwn2Own er det blant annet om å gjøre å demonstrere utnyttelse av sårbarheter i nettleserne og applikasjoner for ulike smartmobiler. Årets konkurranse gikk av stabelen denne uken i forbindelse med PacSec-konferansen i Tokyo.

I alt ble det lovet ut 300 000 dollar i premier, fordelt på en rekke kategorier.

HP ZDI har publisert en rekke blogginnlegg om suksesshistorier i de ulike kategoriene. Foreløpig er det klart at i alle fall Safari for iOS og Chrome for Android har blitt knekket.

Sårbarheten i Chrome, som også berørte pc-utgavene, skal allerede være fjernet i en oppdatering som kom i går.

Utnyttelsen av Safari-sårbarheten er omtalt i videoen nedenfor.

Et japansk lag skal under konkurransen ha greid å utnytte sårbarheter i flere av Samsungs standardapplikasjoner som følger med Galaxy S4-telefonen. Sårbarhetene ble utnyttet til å skjule installasjonen av en ondsinnet applikasjon og et påfølgende tyveri av brukerdata, inkludert SMS-meldinger, kontaktliste og nettleserhistorikken.

I forbindelse med konkurransen demonstrerte to ansatte i HP ZDI også en til nå ukjent sårbarhet i Internet Explorer 11 på Windows 8.1.

– Det å utnytte en feil i IE er vanskelig på grunn av beskyttelsene og sikkerhetskontrollene de har implementert, sier Abdul Aziz Hariri i videoen nedenfor. Men ved å utnytte den samme sårbarheten to ganger fikk han og kollegaen Matt Molinyawe tilgang til en minneadresse som ga dem mulighet for fjernkjøring av kode og full kontroll over systemet.