Конкурс Pwn2Own широко известен среди специалистов в области информационной безопасности в качестве отличной площадки для демонстрации своих навыков в обнаружении и эксплуатации уязвимостей. Несмотря на то, что изначально конкурс планировался как полигон для взлома браузеров, затем было принято решение и расширении и на мобильные устройства. Организаторы из Zero Day Initiative (ZDI) сегодня объявили об условиях Pwn2Own Mobile 2013.
Ключевыми спонсорами конкурса в этот раз выступят Hewlett-Packard, Google Inc. и Blackberry Limited, поэтому, естественно, сотрудники этих компаний и их ближайшие родственники в конкурсе принять участие не смогут. Согласно условиям, участники конкурса должны будут продемонстрировать навыки взлома систем Apple iOS, Blackberry 10, Google Android, а также двух систем от Microsoft — Windows Phone и Windows RT. Среди устройств обозначены Apple iPhone 5, Apple iPad Mini, Blackberry Z10, LG Nexus 4, ASUS Nexus 7, Samsung Nexus 10, Samsung Galaxy S4, Nokia Lumia 1020 и Microsoft Surface RT. Участник волен выбрать любое устройство и продемонстрировать взлом с следующих категориях:
- Получение доступа к устройству на коротком расстоянии, либо при физическом доступе. В этой категории необходимо заполучить контроль над любым устройством с помощью заражения через Wi-Fi, Bluetooth, USB или NFC. За успех полагается награда в размере $50 тыс. USD.
- Использование веб-браузера. Здесь всё относительно просто — на смартфоне необходимо открыть специальную страницу с вредоносным сценарием, который сможет проэксплуатировать уязвимость. За выполнение данной задачи положен приз в размере $40 тыс. Впрочем, Google предлагает $50 тыс. тем, кто в качестве цели изберёт Chrome на Nexus 4 или Galaxy S4.
- Использование уязвимостей системы и/или приложений. За демонстрацию эксплойта полагается награда $40 тыс.
- Использование средств передачи сообщений. Если удастся захватить устройство специально сформированными SMS, MMS или CMAS (стандарт экстренных оповещений), то хакер сможет получить $70 тыс.
- Компрометация прошивки радиомодуля. Эта категория рассматривается организаторами как самая сложная, поэтому и оценивается в $100 тыс.
Кроме денежных призов, победитель получает взломанное устройство, а также 20 тысяч очков ZDI, которые эквивалентны $10 тыс.
Чтобы принять участие в конкурсе, необходимо зарегистрироваться на конференцию по информационной безопасности PacSec 2013, которая пройдёт в Токио 13 и 14 ноября этого года. Регистрация открыта до 12 ноября, чтобы дать исследователям больше времени на определение направления взлома. Участник должен выбрать категорию, в которой он хотел бы участвовать. В случае, если в категории будут несколько участников, то в случайном порядке им будет даваться 30 минут на демонстрацию взлома до тех пор, пока он не будет успешен. В случае, если после демонстрации взлома останутся ещё участники в этой категории, то они не смогут принять участие, кроме варианта с веб-браузером, который делится на две подкатегории — любой браузер или Google Chrome на Android. Впрочем, в случае, если в какой-то категории победителя не будет, то организаторы могут предоставить дополнительные возможности для участников, которые могут в другой категории взломать устройство другим методом. В случае успешного взлома, участник обязан предоставить письменное описание методики взлома и исходные коды использованного вредоносного кода, которые будут переданы разработчику устройства. Использованные уязвимости не должны быть известны до конкурса. В случае, если об уязвимости становится известно, то использовать её запрещено. Взлом должен производиться на устройствах с наиболее актуальным на дату проведения конкурса программным обеспечением. К участию приглашаются граждане всех стран, кроме Кубы, Ирана, Северной Кореи, Сирии и Судана. Напомним, что в прошлом году были скомпрометированы Samsung Galaxy S3 (через NFC) и iPhone 4S (через браузер), тогда как к Blackberry Bold 9930 и Nokia Lumia 900 никто решил не подступаться.