طبق نتايج حاصل از برگزاري مسابقات سالیانه ي  Pwn2Own در توکیو ، تعداد 11 آسيب پذيري در گوشي تلفن همراه  Galaxy S8 كشف شد، محققان آزمایشگاه MWR در 6 برنامه مختلف تلفن همراه ۱۱ آسیب‌پذیری يافته شده، استفاده نموده و توانستند تا کدهاي مخرب را در دستگاهِ معروف سامسونگ یعنی Galaxy S8، اجرا کرده و اطلاعات را از سامانه خارج کنند. جايزه يافتن اين آسيب پذيرها كه از نوع حملات روز صفرم بود، ۲۵ هزار دلار جایزه داشت.


سازمان‌دهندگان مسابقه، ZDI Initiative در بیانیه‌ای گفتند: «تعداد زیاد آسیب‌پذیری‌ها باعث شد که محققان آزمایشگاه MWR پس از راه‌اندازی مجدد دوباره به کار خود ادامه دهند.»
طبق گفته گروه ZDI : «در مسابقات امسال ۳۲ آسیب‌پذیری کشف شد که توسط گروه ZDI خریداری شد؛ در این مسابقه ۵۱۵ هزار دلار به محققان اعطا شد. در این مسابقات فقط آسيب پذيري هايي مورد قبول بود كه قبلا گزارش و يافت نشده‌اند، كه در نهايت پس از تاييد داوران به فروشندگان آنها اطلاع داده مي شود. به فروشندگان ۹۰ روز فرصت داده می‌شود که یا آسیب‌پذیری‌‌ها را وصله کنند و یا یک دلیل منطقی برای عدم وصله‌‌ی آن‌ها ارائه دهند. در غیر این صورت، ZDI یک مشاوره‌نامه‌ی عمومی با جزئیات محدودی از این آسیب‌پذیری‌ها منتشر خواهد کرد.»
شركت كنندگان این مسابقه مجبور بودند با وصله‌های منتشرشده توسط فروشندگان مربوطه در تاریخ ۱ نوامبر از جمله به‌روزرسانی‌های iOS از اپل و اندروید از گوگل رقابت کنند، روز اول اين مسابقات با پنج مورد كشف آسيب پذيري موفقیت‌آمیز و اعطاء ۳۵۰ هزار دلار به محققان شروع شد. در روز اول، آزمایشگاه امنیتی Tencent Keen از چین برنده‌ی اصلی مسابقه بود. این آزمایشگاه توانست با راه‌اندازی دو حمله‌ی موفق در برابر Iphone7 و یک حمله‌ی بیس‌باند در برابر پردازنده‌ی بیس‌باند Huawei Mate 9 Pro مبلغ ۲۵۵ هزار دلار به دست آورد. شرکت چینی Qihoo360 این رویداد را با دریافت جایزه‌ی ۷۰ هزار دلاری برای بهره‌برداری از یک آسیب‌پذیری موجود در مرورگر Galaxy S8 در روز نخست آغاز کرده بود.
 به گفته‌ی گروه ZDI، تمام دستگاه‌های مورد استفاده در این رویداد به طور کامل وصله شده بودند. آزمایشگاه MWR پنج آسیب‌پذیری در برنامه‌های مختلف تلفن هاي همراه هوآوی کشف کردند و توانستند با بهره‌برداری از آن‌ها جعبه‌ی شنی مرورگر کروم دستگاه هوآوی Huawei Mate 9 Pro را دور بزند و داده‌ها را از سامانه خارج کند. این آزمایشگاه برای کشف این آسیب‌پذیری‌ها ۲۵‌ هزار دلار به دست آورد.
شرکت امنیتی  Qihoo360 از چین نیز توانست با دو كشف موفق در برابر Iphone 7، مبلغ ۴۵ هزار دلار به دست آورد. اولین بهره‌برداری به ۳ آسیب‌پذیری نیاز داشت، اما یکی از این اشکالات توسط یکی دیگر از رقیب‌ها کشف و اعلام شده بود. با این حال، این حمله به محققان اجازه داد تا از طریق وای‌فای روی دستگاه‌های آیفون کد مخرب اجرا کنند و آن‌ها در ازای این بهره‌برداری ۲۰ هزار دلار به دست آوردند. يك پژوهشگر امنيتي به نام Amat Cama، توانست از یک سرریز بافر پشته استفاده کند تا بتواند روی پردازنده‌ی بیس‌باند Galaxy S8 کد اجرا کرده و مبلغ ۵۰ هزار دلار جایزه دریافت کند. گروه ZDI گفت: «در حمله‌ی دوم شرکت Qihoo توانست از یک آسیب‌پذیری در مرورگر سافاری و یک آسیب‌پذیری دیگر در سامانه بهره‌برداری کند و مبلغ ۲۵ هزار دلار به دست آورد.» 
هم‌چنین پژوهش‌گری به نام Richard Zhu یک جایزه‌ی ۲۵ هزار دلاری دیگر برای بهره‌برداری از یک آسیب‌پذیری در مرورگر سافاری آیفون ۷ به دست آورد. احتمالا در حال حاضر امن‌ترین تلفن همراه، که پژوهش‌گران نتوانستند آسیب‌پذیری روز-صفرم در آن کشف بيابند ، تلفن همراه Google Pixel باشد.

  • 01.png
  • 02.png
  • 03.png
  • 04.png
  • 05.png
  • 06.png
  • 07.png
  • 08.png