Pwn2Own - Pwn2Own
| Encontro: Data | 18 a 20 de abril de 2007 |
|---|---|
| Tempo | Duas vezes por ano |
| Duração | 2 a 3 dias |
| Local | Conferência de segurança CanSecWest |
| Localização | Vários |
| Modelo | Concurso de hack |
| Clientes) | Zero Day Initiative |
| Organizado por | Conferência de segurança aplicada CanSecWest |
| Prêmios | Prêmios em dinheiro |
| Local na rede Internet | Conferência de segurança aplicada CanSecWest |
Pwn2Own é um concurso de hacking realizado anualmente na conferência de segurança CanSecWest . Realizado pela primeira vez em abril de 2007 em Vancouver, o concurso agora é realizado duas vezes por ano, mais recentemente em abril de 2021. Os competidores são desafiados a explorar softwares amplamente usados e dispositivos móveis com vulnerabilidades desconhecidas anteriormente . Os vencedores do concurso recebem o dispositivo que exploraram e um prêmio em dinheiro. O concurso Pwn2Own serve para demonstrar a vulnerabilidade de dispositivos e software em uso generalizado, ao mesmo tempo que fornece um ponto de verificação sobre o progresso feito em segurança desde o ano anterior.
História
Origens
O primeiro concurso em 2007 foi concebido e desenvolvido por Dragos Ruiu em resposta à sua frustração com a falta de resposta da Apple Inc. ao Mês dos Bugs da Apple e ao Mês dos Bugs do Kernel , bem como aos comerciais de televisão da Apple que banalizavam a segurança construída no sistema operacional Windows concorrente . Na época, havia uma crença generalizada de que, apesar dessas exibições públicas de vulnerabilidades nos produtos da Apple, o OS X era significativamente mais seguro do que qualquer outro concorrente. Em 20 de março, cerca de três semanas antes do CanSecWest daquele ano, Ruiu anunciou o concurso Pwn2Own para pesquisadores de segurança na lista de e-mails do DailyDave. O concurso deveria incluir dois MacBook Pros que ele deixaria na sala de conferências conectados a seu próprio ponto de acesso sem fio . Qualquer participante da conferência que pudesse se conectar a este ponto de acesso sem fio e explorar um dos dispositivos seria capaz de sair da conferência com aquele laptop. Não houve recompensa monetária. O nome "Pwn2Own" foi derivado do fato de que os competidores devem " pwn " ou hackear o dispositivo para "possuí-lo" ou ganhá-lo.
No primeiro dia da conferência em Vancouver, British Columbia , Ruiu convidou Terri Forslof da Zero Day Initiative (ZDI) para participar do concurso. A ZDI possui um programa que adquire ataques de dia zero , os reporta ao fornecedor afetado e os transforma em assinaturas para seu próprio sistema de detecção de intrusão de rede, aumentando sua eficácia. As vulnerabilidades vendidas à ZDI são tornadas públicas somente depois que o fornecedor afetado lança um patch para elas. Forslof concordou em fazer com que a ZDI oferecesse a compra de quaisquer vulnerabilidades usadas no concurso por um preço fixo de US $ 10.000. O primeiro concurso posteriormente expôs uma falha de alto nível do Quicktime , que foi revelada à Apple em 23 de abril e corrigida no início de maio. Em 2008, o escopo do concurso Pwn2Own foi expandido. Os alvos incluíam três laptops executando a instalação padrão do Windows Vista , OS X ou Ubuntu Linux . Dispositivos móveis foram adicionados em 2009.
Para 2012, as regras foram alteradas para uma competição do tipo capture a bandeira com um sistema de pontos, At e Chrome foram explorados com sucesso pela primeira vez, pelo concorrente regular VUPEN . Depois de se retirar do concurso naquele ano devido a novas regras de divulgação, em 2013 o Google voltou como patrocinador e as regras foram alteradas para exigir a divulgação completa de exploits e técnicas utilizadas. O Google deixou de ser patrocinador do Pwn2Own em 2015.
Anos recentes
Em 2015, todos os navegadores testados foram hackeados com sucesso e todos os prêmios ganhos, totalizando $ 557.500. Outros prêmios, como laptops, também foram entregues aos pesquisadores vencedores. Em 2018, a conferência era muito menor e patrocinada principalmente pela Microsoft , depois que a China proibiu seus pesquisadores de segurança de participarem do concurso.
Pwn2Own continua a ser patrocinado pela Zero Day Initiative da Trend Micro , com a ZDI relatando vulnerabilidades aos fornecedores antes de divulgar os hacks. "Um dos maiores concursos de hacking do mundo", de acordo com o TechCrunch , a partir de 2019 o concurso continua a ser realizado várias vezes por ano. Pwn2Own Tokyo foi realizado de 6 a 7 de novembro em Tóquio, Japão , e esperava-se que entregasse $ 750.000 em dinheiro e prêmios. Os hackers se concentram em navegadores, máquinas virtuais, computadores e telefones. Em 2019, o concurso adicionou carros pela primeira vez, com US $ 900.000 oferecidos para hacks que exploram o software Tesla . Em 2019, o concurso agregou sistemas de controle industrial.
Sistema de premiação
Os vencedores do concurso recebem o dispositivo que exploraram e um prêmio em dinheiro. Os vencedores também recebem uma jaqueta "Masters" em comemoração ao ano de sua vitória.
Lista de exploits de sucesso
Esta lista de hacks notáveis está incompleta.
| Hacker (s) | Afiliação | Ano | Alvo de exploração | Versão / SO | Fonte |
|---|---|---|---|---|---|
| Dino Dai Zovi | Independente | 2007 | Quicktime ( Safari ) | Mac OS X | |
| Shane Macauley | Independente | 2007 | Quicktime (Safari) | Mac OS X | |
| Charlie Miller | ISE | 2008 | Safari ( PCRE ) | Mac OS X 10.5 .2 | |
| Jake Honoroff | ISE | 2008 | Safari (PCRE) | Mac OS X 10.5.2 | |
| Mark Daniel | ISE | 2008 | Safari (PCRE) | Mac OS X 10.5.2 | |
| Shane Macauley | Independente | 2008 | Adobe Flash ( Internet Explorer ) | Windows Vista Service Pack 1 | |
| Alexander Sotirov | Independente | 2008 | Adobe Flash (Internet Explorer) | Windows Vista Service Pack 1 | |
| Derek Callaway | Independente | 2008 | Adobe Flash (Internet Explorer) | Windows Vista Service Pack 1 | |
| Charlie Miller | ISE | 2009 | Safári | Mac OS X | |
| Nils | Independente | 2009 | Internet Explorer 8 | Windows 7 Beta | |
| Nils | Independente | 2009 | Safári | Mac OS X | |
| Nils | Independente | 2009 | Mozilla Firefox | ||
| Charlie Miller | ISE | 2010 | Safári | Mac OS X | |
| Peter Vreugdenhil | Independente | 2010 | Internet Explorer 8 | Windows 7 | |
| Nils | Independente | 2010 | Mozilla Firefox 3.6 | Windows 7 (64 bits) | |
| Ralf-Philipp Weinmann | Independente | 2010 | iPhone 3GS | iOS | |
| Vincenzo Iozzo | Independente | 2010 | iPhone 3GS | iOS | |
| VUPEN | VUPEN | 2011 | Safari 5.0.3 | Mac OS X 10 .6.6 | |
| Stephen Fewer | Harmony Security | 2011 | Internet Explorer 8 (32 bits) | Windows 7 Service Pack 1 (64 bits) | |
| Charlie Miller | ISE | 2011 | iPhone 4 | iOS 4.2 .1 | |
| Dion Blazakis | ISE | 2011 | iPhone 4 | iOS 4.2.1 | |
| Willem Pinckaers | Independente | 2011 | BlackBerry Torch 9800 | BlackBerry OS 6 .0.0.246 | |
| Vincenzo Iozzo | Independente | 2011 | Blackberry Torch 9800 | BlackBerry OS 6.0.0.246 | |
| Ralf-Philipp Weinmann | Independente | 2011 | Blackberry Torch 9800 | BlackBerry OS 6.0.0.246 | |
| VUPEN | VUPEN | 2012 | cromada | Windows 7 Service Pack 1 (64 bits) | |
| VUPEN | VUPEN | 2012 | Internet Explorer 9 | Windows 7 | |
| Willem Pinckaers | Independente | 2012 | Mozilla Firefox | ||
| Vincenzo Iozzo | Independente | 2012 | Mozilla Firefox | ||
| VUPEN | VUPEN | 2013 | Internet Explorer 10 | Windows 8 | |
| VUPEN | VUPEN | 2013 | Adobe Flash | Windows 8 | |
| VUPEN | VUPEN | 2013 | Oracle Java | Windows 8 | |
| Nils | MWR Labs | 2013 | cromada | Windows 8 | |
| Jon | MWR Labs | 2013 | cromada | Windows 8 | |
| George Hotz | Independente | 2013 | Adobe Reader | Windows 8 | |
| Joshua Drake | Independente | 2013 | Oracle Java | Windows 8 | |
| James Forshaw | Independente | 2013 | Oracle Java | Windows 8 | |
| Ben Murphy | Independente | 2013 | Oracle Java | Windows 8 | |
| Torta rosa | Independente | 2013 (celular) | cromada | Android | |
| Nico Joly | VUPEN | 2014 (móvel) | Windows Phone ( Internet Explorer 11 ) | Windows 8.1 | |
| VUPEN | VUPEN | 2014 | Internet Explorer 11 | Windows 8.1 | |
| VUPEN | VUPEN | 2014 | Adobe Reader XI | Windows 8.1 | |
| VUPEN | VUPEN | 2014 | cromada | Windows 8.1 | |
| VUPEN | VUPEN | 2014 | Adobe Flash | Windows 8.1 | |
| VUPEN | VUPEN | 2014 | Mozilla Firefox | Windows 8.1 | |
| Liang Chen, Zeguang Zhao | Equipe interessada, team509 | 2014 | Adobe Flash | Windows 8.1 | |
| Sebastian Apelt, Andreas Schmidt | Independente | 2014 | Internet Explorer 11 | Windows 8.1 | |
| Jüri Aedla | Independente | 2014 | Mozilla Firefox | Windows 8.1 | |
| Mariusz Młyński | Independente | 2014 | Mozilla Firefox | Windows 8.1 | |
| George Hotz | Independente | 2014 | Mozilla Firefox | Windows 8.1 | |
| Liang Chen, Zeguang Zhao | Equipe interessada, team509 | 2014 | OS X Mavericks e Safari | ||
| Jung Hoon Lee, também conhecido como lokihardt | Independente | 2015 | Internet Explorer 11, Google Chrome e Safari | ||
| Nico Golde, Daniel Komaromy | Independente | 2015 (celular) | Baseband Samsung Galaxy S6 | Android | |
| Guang Gong | Qihoo 360 | 2015 (celular) | Nexus 6 Chrome | Android | |
| 2016 | |||||
| 2017 | iPhone 7, outros | iOS 11.1 | |||
| 2018 | |||||
| Fluoroacetato | Independente | 2019 (celular) | Amazon Echo Show 5 | ||
| Pedro Ribeiro, Radek Domanski | Flashback | 2019 (celular) | NETGEAR Nighthawk Smart WiFi Router (LAN e WAN) | v3 (hardware) | |
| Pedro Ribeiro, Radek Domanski | Flashback | 2019 (celular) | Roteador Wi-Fi inteligente TP-Link AC1750 (LAN e WAN) | v5 (hardware) | |
| Mark Barnes, Toby Drew, Max Van Amerongen e James Loureiro | F-Secure Labs | 2019 (celular) | Xiaomi Mi9 (navegador da web e NFC) | Android | |
| Mark Barnes, Toby Drew, Max Van Amerongen e James Loureiro | F-Secure Labs | 2019 (celular) | Roteador Wi-Fi inteligente TP-Link AC1750 (LAN e WAN) | v5 (hardware) |
Concursos anuais
2007
O concurso aconteceu de quinta-feira, 18 de abril, a sábado, 20 de abril de 2007, em Vancouver. O primeiro concurso tinha como objetivo destacar a insegurança do sistema operacional Mac OS X da Apple, já que, na época, havia uma crença generalizada de que o OS X era muito mais seguro do que seus concorrentes. Em relação às regras, apenas dois laptops MacBook Pro, um de 13 "e outro de 15", foram deixados no chão da conferência em CanSecWest e ligados a uma rede sem fio separada. Apenas alguns ataques foram permitidos e essas restrições foram progressivamente afrouxando ao longo dos três dias da conferência. O dia 1 permitiu ataques remotos apenas, o dia 2 teve ataques de navegador incluídos, enquanto o dia 3 permitiu ataques locais, onde os competidores podiam se conectar com um pendrive ou Bluetooth . Para ganhar o MacBook Pro de 15 ", os competidores seriam obrigados a aumentar ainda mais seus privilégios de root após obter acesso com o exploit inicial.
Os laptops não foram hackeados no primeiro dia. Depois que o prêmio de $ 10.000 foi anunciado pela ZDI, Shane Macaulay chamou o ex-colega Dino Dai Zovi em Nova York e o incentivou a competir no segundo dia. Em uma noite, Dai Zovi encontrou e explorou uma vulnerabilidade anteriormente desconhecida em uma biblioteca QuickTime carregada pelo Safari. Na manhã seguinte, Dai Zovi enviou seu código de exploit para Macaulay, que o colocou em um site e enviou aos organizadores do concurso um link para ele por e-mail. Quando clicado, o link deu a Macauley o controle do laptop, vencendo o concurso por procuração de Dai Zovi, que deu a Macaulay o MacBook Pro de 15 ". Dai Zovi vendeu separadamente a vulnerabilidade para a ZDI pelo prêmio de US $ 10.000.
2008
Pwn2Own 2008 ocorreu de quinta-feira, 26 de março a sábado, 28 de março de 2008. Após o concurso bem-sucedido de 2007, o escopo do concurso se expandiu para incluir uma gama maior de sistemas operacionais e navegadores. O concurso demonstraria a insegurança generalizada de todos os softwares de uso generalizado pelos consumidores. Dragos refinou o concurso com a ajuda de um amplo painel de especialistas do setor e o concurso foi administrado pela ZDI, que novamente se ofereceria para comprar as vulnerabilidades após sua demonstração. Como acontece com todas as vulnerabilidades que a ZDI adquire, os detalhes das vulnerabilidades usadas no Pwn2Own seriam fornecidos aos fornecedores afetados e os detalhes públicos seriam retidos até que um patch fosse disponibilizado. Todos os participantes que demonstraram exploits com sucesso no concurso poderiam vender suas vulnerabilidades para a ZDI por prêmios de $ 20.000 no primeiro dia, $ 10.000 no segundo dia e $ 5.000 no terceiro dia. Como no concurso do ano anterior, apenas alguns ataques foram permitidos em cada dia. Os alvos incluíam três laptops executando a instalação padrão do Windows Vista Ultimate SP1 , Mac OS X 10.5.2 ou Ubuntu Linux 7.10 . O dia 1 viu apenas ataques remotos; os competidores tinham que entrar na mesma rede do laptop alvo e realizar seu ataque sem interação do usuário e sem autenticação. O dia 2 incluiu ataques de navegador e mensagens instantâneas , bem como ataques a sites maliciosos com links enviados aos organizadores para serem clicados. O dia 3 incluiu aplicativos de clientes de terceiros. Os competidores podem ter como alvo softwares populares de terceiros, como navegadores, Adobe Flash , Java , Apple Mail , iChat , Skype , AOL e Microsoft Silverlight .
Com relação ao resultado, o laptop rodando OS X foi explorado no segundo dia do concurso com um exploit para o navegador Safari co-escrito por Charlie Miller , Jake Honoroff e Mark Daniel da Independent Security Evaluators. Seu exploit tinha como alvo um subcomponente de código aberto do navegador Safari. O laptop com Windows Vista SP1 foi explorado no terceiro dia do concurso com um exploit para Adobe Flash co-escrito por Shane Macaulay, Alexander Sotirov e Derek Callaway. Após o concurso, a Adobe revelou que co-descobriu a mesma vulnerabilidade internamente e estava trabalhando em um patch na época do Pwn2Own. O laptop rodando Ubuntu não foi explorado.
2009
Pwn2Own 2009 ocorreu durante os três dias de CanSecWest de quinta-feira, 18 de março a sábado, 20 de março de 2009. Depois de ter muito mais sucesso visando navegadores da web do que qualquer outra categoria de software em 2007, o terceiro Pwn2Own focou em navegadores populares usados no consumidor sistemas operacionais de desktop. Ele adicionou outra categoria de dispositivos móveis que os competidores foram desafiados a hackear por meio de muitos vetores de ataque remoto, incluindo e-mail, mensagens SMS e navegação em sites. Todos os participantes que demonstraram exploits bem-sucedidos no concurso receberam recompensas pelas vulnerabilidades subjacentes da ZDI, US $ 5.000 para explorações de navegador e US $ 10.000 para explorações móveis.
Com relação às regras do navegador da web, os destinos do navegador eram Internet Explorer 8 , Firefox e Chrome instalados em um Sony Vaio executando Windows 7 Beta e Safari e Firefox instalados em um MacBook executando Mac OS X. Todos os navegadores foram totalmente corrigidos e em configurações padrão no primeiro dia do concurso. Como nos anos anteriores, a disputa da superfície de ataque se expandiu ao longo dos três dias. No dia 1, os participantes tiveram que direcionar a funcionalidade do navegador padrão sem acesso a nenhum plug-in. No dia 2, foram incluídos Adobe Flash, Java, Microsoft .NET Framework e QuickTime. No dia 3, outros plug-ins populares de terceiros foram incluídos, como o Adobe Reader . Vários vencedores por alvo eram permitidos, mas apenas o primeiro competidor a explorar cada laptop conseguiria. Os destinos de dispositivos móveis incluem telefones BlackBerry , Android , Apple iPhone 2.0 ( T-Mobile G1 ), Symbian (Nokia N95 ) e Windows Mobile ( HTC Touch ) em suas configurações padrão.
Tal como acontece com o concurso de navegador, a superfície de ataque disponível para os competidores se expandiu em três dias. Para provar que foram capazes de comprometer o dispositivo com sucesso, os competidores tiveram que demonstrar que podiam coletar dados confidenciais do dispositivo móvel ou incorrer em algum tipo de perda financeira do proprietário do dispositivo móvel. No dia 1, o dispositivo pode receber SMS, MMS e e-mail, mas as mensagens não podem ser lidas. Wifi (se ativado por padrão), Bluetooth (se ativado por padrão) e pilha de rádio também estavam dentro do escopo. No dia 2, SMS, MMS e e-mail podem ser abertos e lidos. O Wifi foi ativado e o Bluetooth pode ser ativado e emparelhado com um fone de ouvido próximo (emparelhamento adicional não permitido). O dia 3 permitiu um nível de interação do usuário com os aplicativos padrão. Vários vencedores por dispositivo foram permitidos, mas apenas o primeiro competidor a explorar cada dispositivo móvel o teria (junto com um contrato de telefone de um ano).
Com relação ao resultado, com base no aumento do interesse em competir em 2009, a ZDI fez uma seleção aleatória para determinar qual equipe foi a primeira contra cada alvo. O primeiro competidor a ser selecionado foi Charlie Miller . Ele explorou o Safari no OS X sem a ajuda de nenhum plug-in de navegador. Em entrevistas depois de vencer o concurso, Miller enfatizou que, embora tenha levado apenas alguns minutos para executar seu exploit contra o Safari, levou muitos dias para pesquisar e desenvolver o exploit que usou. Um pesquisador identificado apenas como Nils foi selecionado para ir atrás de Miller. Nils executou com sucesso um exploit contra o Internet Explorer 8 no Windows 7 Beta. Ao escrever este exploit, Nils teve que contornar as mitigações anti-exploração que a Microsoft implementou no Internet Explorer 8 e Windows 7, incluindo Data Execution Protection (DEP) e Address Space Layout Randomization (ASLR). Nils continuou tentando os outros navegadores. Embora Miller já tivesse explorado o Safari no OS X, Nils explorou essa plataforma novamente, então passou a explorar o Firefox com sucesso. Perto do final do primeiro dia, Julien Tinnes e Sami Koivu (remoto) exploraram com sucesso o Firefox e Safari no OS X com uma vulnerabilidade em Java. Na época, o OS X tinha o Java habilitado por padrão, o que permitia uma exploração confiável nessa plataforma. No entanto, por já ter relatado as vulnerabilidades ao fornecedor, a participação de Tinnes estava fora das regras do concurso e não pôde ser recompensada. Os próximos dias do concurso não atraíram competidores adicionais. O Chrome, assim como todos os dispositivos móveis, não foi explorado no Pwn2Own 2009.
2010
A competição começou em 24 de março de 2010 e teve um prêmio total em dinheiro de US $ 100.000. Em 15 de março - nove dias antes do início do concurso - a Apple lançou dezesseis patches para WebKit e Safari. Com relação ao software a ser explorado, $ 40.000 dos $ 100.000 foram reservados para navegadores da web, onde cada destino vale $ 10.000. O dia 1 incluiu Microsoft Internet Explorer 8 no Windows 7 , Mozilla Firefox 3.6 no Windows 7, Google Chrome 4 no Windows 7 e Apple Safari 4 no Mac OS X Snow Leopard . O dia 2 incluiu Microsoft Internet Explorer 8 no Windows Vista , Mozilla Firefox 3 no Windows Vista, Google Chrome 4 no Windows Vista e Apple Safari 4 no Mac OS X Snow Leopard. O dia 3 incluiu Microsoft Internet Explorer 8 no Windows XP , Mozilla Firefox 3 no Windows XP, Google Chrome 4 no Windows XP e Apple Safari 4 no Mac OS X Snow Leopard. $ 60.000 do total de prêmios em dinheiro de $ 100.000 foram alocados para a parte de celular do concurso, cada alvo valia $ 15.000. Estes incluíram Apple iPhone 3GS , RIM BlackBerry Bold 9700 , dispositivo Nokia E72 executando Symbian e HTC Nexus One executando Android .
O navegador Opera foi deixado de fora das competições como alvo: a equipe da ZDI argumentou que o Opera tinha uma baixa participação de mercado e que o Chrome e o Safari foram incluídos apenas "devido à sua presença padrão em várias plataformas móveis". No entanto, o motor de renderização do Opera, o Presto , está presente em milhões de plataformas móveis.
Entre as explorações bem-sucedidas estão quando Charlie Miller hackeado com sucesso o Safari 4 no Mac OS X. Nils hackeado o Firefox 3.6 no Windows 7 de 64 bits usando uma vulnerabilidade de corrupção de memória e ignorar ASLR e DEP, após o qual a Mozilla corrigiu a falha de segurança no Firefox 3.6.3 . Ralf-Philipp Weinmann e Vincenzo Iozzo hackearam o iPhone 3GS ignorando as assinaturas de código digital usadas no iPhone para verificar se o código na memória é da Apple. Peter Vreugdenhil explorou o Internet Explorer 8 no Windows 7 usando duas vulnerabilidades que envolviam contornar ASLR e evitar DEP .
2011
O concurso de 2011 aconteceu entre 9 e 11 de março durante a conferência CanSecWest em Vancouver. Os destinos do navegador da web para o concurso de 2011 incluíram Microsoft Internet Explorer, Apple Safari, Mozilla Firefox e Google Chrome. A novidade no concurso Pwn2Own foi o fato de que uma nova superfície de ataque foi permitida para penetrar em telefones celulares, especificamente em bandas base de celulares . Os alvos do telefone móvel eram Dell Venue Pro rodando Windows Phone 7 , iPhone 4 rodando iOS , BlackBerry Torch 9800 rodando BlackBerry OS 6.0 e Nexus S rodando Android 2.3. Várias equipes se inscreveram para o concurso de navegador para desktop. Para o Apple Safari, os concorrentes registrados incluíram VUPEN, Anon_07, Team Anon, Charlie Miller. Mozilla Firefox incluiu Sam Thomas e Anonymous_1. As equipes do Microsoft Internet Explorer incluíram Stephen Fewer, VUPEN, Sam Thomas e Ahmed M Sleet. As equipes do Google Chrome incluíram Moatz Khader, Team Anon e Ahmed M Sleet. Para a categoria de navegador móvel, as seguintes equipes se inscreveram. Para a tentativa de hack do iPhone da Apple, as equipes incluíram Anon_07, Dion Blazakis e Charlie Miller, Equipe Anon, Anonymous_1 e Ahmed M Sleet. Para hackear o RIM Blackberry, as equipes foramAnonymous_1, Team Anon e Ahmed M Sleet. Para hackear o Samsung Nexus S , as equipes incluíram Jon Oberheide, Anonymous_1, Anon_07 e Team Anonymous. Para hackear o Dell Venue Pro , as equipes incluíram George Hotz , Team Anonymous, Anonymous_1 e Ahmed M Sleet.
No primeiro dia de competição, o Safari e o Internet Explorer foram derrotados pelos pesquisadores. O Safari foi a versão 5.0.3 instalada em um Mac OS X 10.6.6 totalmente corrigido. A empresa de segurança francesa VUPEN foi a primeira a atacar o navegador. O Internet Explorer era uma versão 8 de 32 bits instalada no Windows 7 Service Pack 1. de 64 bits. O pesquisador de segurança Stephen Fewer, da Harmony Security, teve sucesso na exploração do Internet Explorer . Isso foi demonstrado exatamente como no Safari. No dia 2, o iPhone 4 e o Blackberry Torch 9800 foram explorados. O iPhone rodava iOS 4.2.1, porém a falha existe na versão 4.3 do iOS. Os pesquisadores de segurança Charlie Miller e Dion Blazakis conseguiram obter acesso ao catálogo de endereços do iPhone por meio de uma vulnerabilidade no Mobile Safari, visitando sua página da Web repleta de exploits. O telefone Blackberry Torch 9800 estava executando o BlackBerry OS 6.0.0.246. A equipe de Vincenzo Iozzo, Willem Pinckaers e Ralf Philipp Weinmann aproveitou a vantagem de uma vulnerabilidade no navegador da Web baseado em WebKit do Blackberry visitando sua página da Web previamente preparada. Firefox, Android e Windows Phone 7 foram programados para serem testados durante o dia 2, mas os pesquisadores de segurança escolhidos para essas plataformas não tentaram nenhuma exploração. Sam Thomas foi selecionado para testar o Firefox, mas retirou-se afirmando que seu exploit não era estável. Os pesquisadores escolhidos para testar o Android e o Windows Phone 7 não apareceram. Nenhuma equipe apareceu no terceiro dia. Chrome e Firefox não foram hackeados.
2012
Para 2012, as regras foram alteradas para uma competição do tipo capture a bandeira com um sistema de pontuação. O novo formato fez com que Charlie Miller , bem-sucedido no evento nos últimos anos, decidisse não comparecer, já que exigia a escrita "no local" de exploits que Miller argumentava favorecer equipes maiores. Os hackers foram contra os quatro principais navegadores.
Na Pwn2Own 2012, o Chrome foi explorado com sucesso pela primeira vez. A VUPEN se recusou a revelar como eles escaparam da sandbox, dizendo que venderiam as informações. O Internet Explorer 9 no Windows 7 foi explorado com sucesso em seguida. O Firefox foi o terceiro navegador a ser hackeado usando um exploit de dia zero .
Safari no Mac OS X Lion foi o único navegador que restou na conclusão da porção de dia zero do pwn2own. Versões do Safari que não foram totalmente corrigidas e rodando no Mac OS X Snow Leopard foram comprometidas durante a parte CVE do pwn2own. Melhorias significativas nas mitigações de segurança no Mac OS X foram introduzidas no Lion.
Controvérsia com o Google
O Google retirou-se do patrocínio do evento porque as regras de 2012 não exigiam a divulgação completa de exploits dos vencedores, especificamente exploits para sair de um ambiente de área restrita e exploits demonstrados que não "venceram". Pwn2Own defendeu a decisão, dizendo que acredita que nenhum hacker tentaria explorar o Chrome se seus métodos tivessem que ser divulgados. O Google ofereceu um concurso "Pwnium" separado que oferecia até US $ 60.000 para exploits específicos do Chrome. Vulnerabilidades não relacionadas ao Chrome usadas eram garantidas para serem imediatamente relatadas ao fornecedor apropriado. Sergey Glazunov e um adolescente identificado como "PinkiePie" ganharam US $ 60.000 cada um por explorações que contornaram a sandbox de segurança. O Google lançou uma correção para os usuários do Chrome em menos de 24 horas após a demonstração dos exploits do Pwnium.
2013
Em 2013, o Google voltou como patrocinador e as regras foram alteradas para exigir a divulgação completa de exploits e técnicas utilizadas. O concurso Mobile Pwn2Own 2013 foi realizado de 13 a 14 de novembro de 2013, durante a Conferência PacSec 2013 em Tóquio. Os navegadores da Web Google Chrome, Internet Explorer e Firefox, juntamente com o Windows 8 e Java, foram explorados. A Adobe também se juntou ao concurso, adicionando Reader e Flash. O Apple Safari no Mountain Lion não foi visado, pois nenhuma equipe apareceu.
A empresa de segurança francesa VUPEN explorou com sucesso um Internet Explorer 10 totalmente atualizado no Microsoft Surface Pro executando uma versão de 64 bits do Windows 8 e ignorou totalmente a sandbox do Modo Protegido sem travar ou congelar o navegador. A equipe VUPEN então explorou Mozilla Firefox, Adobe Flash e Oracle Java. Pinkie Pie ganhou $ 50.000, e o Google lançou atualizações do Chrome em 14 de novembro para resolver as vulnerabilidades exploradas. Nils e Jon, da MWRLabs, tiveram sucesso em explorar o Google Chrome usando falhas do WebKit e do kernel do Windows para contornar a sandbox do Chrome e ganharam $ 100.000. George Hotz explorou o Adobe Acrobat Reader e escapou da sandbox para ganhar $ 70.000. James Forshaw, Joshua Drake e Ben Murphy exploraram independentemente o Oracle Java para ganhar US $ 20.000 cada.
O concurso móvel viu os competidores ganhando $ 117.500 de um prêmio de $ 300.000.
2014
A Pwn2Own 2014, em março, foi realizada em Vancouver na CanSecWest Conference e patrocinada pela Hewlett-Packard . Todos os quatro navegadores almejados caíram para os pesquisadores, e os competidores em geral ganharam $ 850.000 de um pool disponível de $ 1.085.000. A VUPEN explorou com sucesso o Internet Explorer 11 totalmente atualizado , Adobe Reader XI , Google Chrome, Adobe Flash e Mozilla Firefox em uma versão de 64 bits do Windows 8.1 , para ganhar um total de $ 400.000 - o maior pagamento para um único concorrente até o momento. A empresa usou um total de 11 vulnerabilidades distintas de dia zero.
Entre outras explorações de sucesso em 2014, o Internet Explorer 11 foi explorado por Sebastian Apelt e Andreas Schmidt por um prêmio de $ 100.000. Apple Safari no Mac OS X Mavericks e Adobe Flash no Windows 8.1 foram explorados com sucesso por Liang Chen da Keen Team e Zeguang Zhao da team509. O Mozilla Firefox foi explorado três vezes no primeiro dia e mais uma vez no segundo dia, com a HP premiando os pesquisadores com US $ 50.000 para cada falha do Firefox divulgada naquele ano. Tanto a Vupen quanto um participante anônimo exploraram o Google Chrome. Vupen ganhou $ 100.000 pelo crack, enquanto o participante anônimo teve seu prêmio de $ 60.000 reduzido, já que seu ataque dependia de uma vulnerabilidade revelada no dia anterior no concurso Pwnium do Google. Além disso, Nico Joly da equipe VUPEN assumiu o Windows Phone (o Lumia 1520 ), mas não conseguiu obter o controle total do sistema. Em 2014, Keen Lab hackeou o Windows 8.1 Adobe Flash em 16 segundos, bem como o sistema OSX Mavericks Safari em 20 segundos.
2015–2017
Todos os prêmios disponíveis foram reivindicados em março de 2015 em Vancouver, e todos os navegadores foram hackeados por um total de $ 557.500 e outros prêmios. O principal hacker provou ser Jung Hoon Lee, que tirou o "IE 11, ambas as versões estável e beta do Google Chrome, e o Apple Safari" e ganhou $ 225.000 em prêmios em dinheiro. Outros hacks incluíram Team509 e KeenTeem invadindo Adobe Flash, e outras interrupções no Adobe Reader. No geral, havia 5 bugs no sistema operacional Windows, 4 no Internet Explorer 11, 3 no Firefox, Adobe Reader e Adobe Flash, 2 no Safari e 1 no Chrome. O Google deixou de ser patrocinador do Pwn2Own em 2015.
No concurso em março de 2016, "cada uma das entradas vencedoras foi capaz de evitar as mitigações do sandboxing, aproveitando vulnerabilidades nos sistemas operacionais subjacentes." Em 2016, Chrome, Microsoft Edge e Safari foram todos hackeados. De acordo com Brian Gorenc, gerente de Pesquisa de Vulnerabilidade da HPE , eles optaram por não incluir o Firefox naquele ano, pois "queriam focar nos navegadores que [haviam] feito sérias melhorias de segurança no ano passado". Em 2016, o Qihoo360 invadiu com sucesso um Pixel em menos de 60 segundos.
Em março de 2017, em Vancouver, pela primeira vez, os hackers invadiram a sandbox da máquina virtual da VMWare. Em 2017, o Chrome não teve nenhum hacks bem-sucedido (embora apenas uma equipe tenha tentado atingir o Chrome), os navegadores subsequentes que se saíram melhor foram, na ordem, Firefox, Safari e Edge. O Mobile Pwn2Own foi realizado nos dias 1 e 2 de novembro de 2017. Representantes da Apple, Google e Huawei estiveram no concurso. Vários smartphones, incluindo aqueles que usam o software iOS 11.1 da Apple, também foram hackeados com sucesso. Os "11 ataques bem-sucedidos" foram contra o iPhone 7, o Huawei Mate 9 Pro e o Samsung Galaxy S8 . O Google Pixel não foi hackeado. No geral, a ZDI naquele ano concedeu $ 833.000 para descobrir 51 bugs de dia zero. A equipe Qihoo 360 ganhou o prêmio principal em 2017.
2018
Em 2018, a conferência era muito menor e patrocinada principalmente pela Microsoft. A China proibiu seus pesquisadores de segurança de participarem do concurso, apesar de os cidadãos chineses terem vencido no passado, e proibiu a divulgação de vulnerabilidades de segurança para estrangeiros. Em particular, o time Tencent 's Keen Labs e Qihoo 360's 360Vulcan não entrou, nem quaisquer outros cidadãos chineses. A Tianfu Cup foi posteriormente projetada para ser uma "versão chinesa de Pwn2Own", também ocorrendo duas vezes por ano. Além disso, pouco antes da conferência de 2018, a Microsoft corrigiu várias vulnerabilidades no Edge, fazendo com que muitas equipes se retirassem. No entanto, certas aberturas foram encontradas no Edge, Safari, Firefox e muito mais. Nenhuma tentativa de hack foi feita contra o Chrome, embora a recompensa oferecida fosse a mesma que para o Edge. Os hackers receberam US $ 267.000. Embora muitos produtos da Microsoft tenham grandes recompensas disponíveis para qualquer pessoa que pudesse obter acesso por meio deles, apenas o Edge foi explorado com sucesso, e também o Safari e o Firefox.
2019
Um concurso de março de 2019 ocorreu em Vancouver na conferência CanSecWest, com categorias incluindo VMware ESXi , VMware Workstation , Oracle VirtualBox , Chrome, Microsoft Edge e Firefox, bem como Tesla. A Tesla entrou em seu novo sedã Modelo 3 , com dois pesquisadores ganhando US $ 375.000 e o carro que hackearam depois de encontrar um grave bug de randomização de memória no sistema de infoentretenimento do carro . Também foi o primeiro ano em que o hacking de dispositivos na categoria de automação residencial foi permitido.
Em outubro de 2019, o Politico informou que a próxima edição do Pwn2Own tinha adicionado sistemas de controle industrial. Pwn2Own Tokyo foi realizado de 6 a 7 de novembro e esperava-se que entregasse $ 750.000 em dinheiro e prêmios. O Portal do Facebook foi inserido, assim como o Amazon Echo Show 5 , um Google Nest Hub Max, uma Amazon Cloud Cam e uma Nest Cam IQ Indoor. Também entrou o kit de realidade virtual Oculus Quest . Em 2019, uma equipe ganhou $ 60.000 hackeando um Amazon Echo Show 5. Eles fizeram isso hackeando o "patch gap" que mesclava software mais antigo corrigido em outras plataformas, já que a tela inteligente usava uma versão antiga do Chromium . A equipe compartilhou as descobertas com a Amazon, que disse que estava investigando o hack e que tomaria "as medidas apropriadas".
2020
Uma nova edição do concurso Pwn2Own aconteceu de 21 a 23 de janeiro de 2020, em Miami, na conferência S4, com sistema de controle industrial e alvos SCADA apenas. Os concorrentes receberam mais de US $ 250.000 durante o evento de três dias, conforme os hackers demonstraram várias explorações em muitas das principais plataformas ICS. Steven Seeley e Chris Anastasio, uma dupla de hackers que se autodenominam Team Incite, receberam o título de Master of Pwn com ganhos de $ 80.000 e 92,5 pontos de Master of Pwn. No geral, o concurso teve 14 demonstrações vencedoras, nove vitórias parciais devido a colisões de bugs e duas inscrições malsucedidas.
A edição de primavera de Pwn2Own 2020 ocorreu em 18-19 de março de 2020. Tesla voltou novamente como patrocinador e tinha um Modelo 3 como alvo disponível. Devido ao COVID-19, a conferência mudou para um evento virtual. A Zero Day Initiative decidiu permitir a participação remota. Isso permitiu que os pesquisadores enviassem seus exploits para o programa antes do evento. Os pesquisadores da ZDI então executaram os exploits de suas casas e gravaram a tela, bem como a chamada do Zoom com o competidor. O concurso teve seis demonstrações bem-sucedidas e premiou US $ 270.000 durante o evento de dois dias, enquanto a compra de 13 bugs exclusivos no Adobe Reader, Apple Safari e macOS, Microsoft Windows e Oracle VirtualBox. A dupla de Amat Cama e Richard Zhu (Team Fluoroacetate) foi coroada Master of Pwn com ganhos de $ 90.000.
A edição de outono em Pwn2Own, normalmente referida como Pwn2Own Tokyo, foi realizada de 5 a 7 de novembro de 2020. Com o bloqueio do COVID-19 continuando, o concurso foi novamente realizado virtualmente e intitulado Pwn2Own Tokyo (Live From Toronto). Os pesquisadores da ZDI em Toronto conduziram o evento, com outros se conectando de casa. Este concurso também viu a inclusão de servidores de rede de área de armazenamento (SAN) como um alvo. O evento teve oito entradas vencedoras, nove vitórias parciais devido a colisões de bugs e duas tentativas fracassadas. No geral, o concurso premiou $ 136.500 por 23 bugs exclusivos. Pedro Ribeiro e Radek Domanski ganharam o título de Master of Pwn com dois exploits SAN de sucesso.
2021
Em 6 a 8 de abril de 2021, o concurso Pwn2Own ocorreu em Austin e virtualmente. O evento deste ano foi ampliado com a adição da categoria Enterprise Communications, que inclui Microsoft Teams e Zoom Messenger. No primeiro dia do concurso, Apple Safari, Microsoft Exchange, Microsoft Teams, Windows 10 e Ubuntu foram comprometidos. O Zoom Messenger foi comprometido no segundo dia do concurso com um exploit zero-click. Parallels Desktop, Google Chrome e Microsoft Edge também foram explorados com sucesso durante o concurso. Mais de $ 1.200.000 USD foram concedidos por 23 dias 0 exclusivos. Master of Pwn foi um empate a três entre a equipe DEVCORE, OV e a equipe de Daan Keuper & Thijs Alkemade.