رقابتهای نفوذ به تلف همراه با نام Pwn2Own برای سال ۲۰۱۸ میلادی در تاریخهای ۱۳ و ۱۴ نوامبر در توکیو برگزار شد. نفوذگران کلاه سفید در این رقابت نشان دادند حتی گوشیهای هوشمند که آخرین بهروزرسانیهای امنیتی را دریافت کرده و توسط شرکتهای پیشرو در این زمینه تولید میشوند، قابل نفوذ هستند. از جمله دستگاههای مهمی که در این رقابت مورد نفوذ قرار گرفتند میتوان iPhone X، Samsung Galaxy S9 و Xiaomi Mi6 را نام برد. نفوذگران کلاه سفید با نفوذ به این دستگاهها توانستند ۳۲۵ هزار دلار جایزه کسب کنند. محققان امنیتی از سراسر جهان و از شرکتهای مختلف در این رقابت حضور داشته و توانستند در دستگاههای تولید اپل، سامسونگ و شیائومی تعداد ۱۸ آسیبپذیری روز-صفرم شناسایی کرده و برای در دست گرفتن کنترل دستگاه، بهرهبرداری توسعه داده و منتشر کنند.
نفوذگران کلاه سفید توانستند با بهرهبرداری از ۲ آسیبپذیری در iPhone X تحت وایفای، به این دستگاه نفوذ کنند. یک آسیبپذیری در مرورگر سافاری iOS به همراه یک آسیبپذیری نوشتن خارج از محدوده باهم ترکیب شده و برای ارتقاء امتیاز و ارسال اطلاعات حساس قربانی بر روی دستگاهی که iOS 12.1 را ارجا میکند، مورد بهرهبرداری قرار گرفته است. برای نشان دادن موفقیت این بهرهبرداری، این محققان تصویری را بر روی دستگاه آیفون بازیابی کردند که کاربر قبلا آن را حذف کرده بود. برای این نفوذ، محققان ۵۰ هزار دلار جایزه دریافت کردند.
بر روی دستگاه گلکسی S9 سامسونگ نیز نفوذگران کلاه سفید از یک آسیبپذیری سرریز پشتهی حافظه در مولفهی baseband بهرهبرداری کرده و توانستند به قابلیت اجرای کد دلخواه دست یابند. برای اجرای این حمله نیز به نفوذگران کلاه سفید ۵۰ هزار دلار جایزه پرداخت شد. ۳ آسیبپذیری دیگر نیز توسط گروهی با نام MWR شناسایی شد. آنها این آسیبپذیریها را با هم ترکیب کرده و از دستگاه S9 تحت وایفای بهرهبرداری کردند. آنها همچنین از اشکال هدایت ناامن و بارگذاری برنامههای ناامن در S9 بهرهبرداری کرده و توانستند برنامههای دلخواه را بر روی دستگاه نصب کنند. آنها در نهایت توانستند ۳۰ هزار دلار جایزه کسب کنند.
نفوذگران کلاه سفید کار را تمام نکرده و با استفاده از NFC توانستند به Xiaomi Mi6 نفوذ کنند. برای بهرهبرداری از این آسیبپذیری نیز به محققان ۳۰ هزار دلار جایزه پرداخت شد. در روز دوم رقابتها نیز بر روی مرورگر دستگاه Xiaomi Mi6 از ماشین جاوا اسکریپت از یک آسیبپذیری سرریز عدد صحیح بهرهبرداری شده است. با بهرهبرداری از این آسیبپذیری آنها توانستند از روی دستگاه شیائومی تصاویر را بازیابی و استخراج کنند. برای این نفوذ نیز ۲۵ هزار دلار جایزه پرداخت شد.
نفوذگران کلاه سفید از گروه MWR از ۵ آسیبپذیری مختلف دیگر بر روی دستگاه Xiaomi Mi6 بهرهبرداری کرده و توانستند با استفاده از جاوا اسکریپت بر روی دستگاه برنامهها را بهطور مخفیانه نصب کرده، فهرست سفید برنامههای کاربردی را دور زده و بهطور خودکار برنامهها را اجرا کنند. برای اجرای این حمله، دستگاه باید به سرور وایفای متعلق به این نفوذگران متصل شده و از یک وبسایت مخرب در مرورگر بازدید کند. آنها در مجموع توانستند ۳۰ هزار دلار جایزه به دست آورند.
در روز دوم رقابت نیز گروه MWR با ترکیب آسیبپذیری دانلود و با نصب مخفیانهی برنامهها توانست برنامههای ویژهای را بر روی دستگاه شیائومی بارگذاری کرده و تصاویر آن را بازیابی کند. برای این نفوذ ۲۵ هزار دلار جایزه در نظر گرفته شد. محقق امنیتی دیگری از آسیبپذیری اغتشاش در نوع جاوا اسکریپت بر روی این دستگاه بهرهبرداری کرده و بر روی Xiaomi Mi6 به قابلیت اجرای کد دست یافت. به این محقق نیز ۲۵ هزار دلار جایزه پرداخت شد.
