نفوذگران کلاه سفید در قالب یک مسابقه ی نفوذ به تلفن های همراه با نام Pwn2Own توانستند به سامسونگ گلکسی اس۸، آیفون ۷ اپل و میت ۹ پرو هوواوی نفوذ کرده و جایزه ای بالغ بر نیم میلیون دلار بدست آورند. این سری از مسابقات در حاشیه ی یک کنفرانس امنیتی در شهر توکیو ژاپن برگزار شده و به نفوذگران کلاه سفید برای هدف قرار دادن مرورگرها، ارتباطات کوتاه برد (بلوتوث، وای فای و غیره)، پیام رسان ها، مولفه های اساسی در پیکسل گوگل، گلکسی اس۸، آیفون ۷ و میت ۹ پرو، بالغ بر ۵۰۰ هزار دلار جایزه پرداخت می شود.
همهی دستگاههایی که در این مسابقات مورد نفوذ قرار گرفتند از آخرین نسخههای سیستم عامل و نرمافزارها استفاده کرده و بهعبارتی بهروز بودند. در روز اول این مسابقه، نفوذگران کلاه سفید توانستند با نفوذ به مرورگر اینترنت در گلکسی اس۸، سافاری در آیفون ۷، وایفای در آیفون ۷ و برخی مولفهها در میت ۹ پرو، مبلغ ۳۵۰ هزار دلار جایزه دریافت کنند.
در روز دوم مسابقه، گروهی از نفوذگران کلاه سفید توانستند با بهرهبرداری از ۵ آسیبپذیری منطقی در برنامههای کاربردی هوواوی به گوگل کروم در میت ۹ پرو نفوذ کرده و ۲۵ هزار دلار جایزه بگیرند. در بهرهبرداری از این آسیبپذیریها، جعبهشنی مرورگر دور زده شده و مهاجم میتوانست اطلاعات را از تلفن همراه خارج کند. همین گروه از نفوذگران کلاه سفید توانستند در ۶ برنامهی مختلف در گلکسی اس۸ از ۱۱ آسیبپذیری بهرهبرداری کرده و به مرورگر اینترنت آن نفوذ کنند. بهرهبرداری از این آسیبپذیریها توسط مهاجمان میتواند منجر به اجرای کد بر روی دستگاه و یا نشت اطلاعات حساس شود.
محققان امنیتی از یک شرکت امنیتی چینی با نام Qihoo 360 توانستند در آیفون ۷ مولفهی وایفای را هدف قرار داده و ۲۰ هزار دلار جایزه بگیرند. این بهرهبرداری که محققان انجام دادند به خوبی کار میکرد فقط یکی از آسیبپذیریهایی که در عملیات خود از آن استفاده کردند، قبلا در مسابقات Pwn2Own افشاء شده بود. محققان همین شرکت توانستند با نفوذ به مرورگر سافاری در آیفون ۷، مبلغ ۲۵ هزار دلار دیگر بدست آورند.
نفوذ دیگر توسط یک گروه امنیتی با نام Acez انجام شد که با هدف قرار دادن گلکسی اس۸ توانستند ۵۰ هزار دلار جایزه بدست آورند. این بهرهبرداری مبتنی بر یک آسیب پذیری سرریز بافر بود که منجر به اجرای کد دلخواه بر روی دستگاه آسیبپذیر میشد. مقدار کلی جایزهای که در این دور از مسابقات به محققان پرداخت شد، ۴۹۵ هزار دلار بود.
هرچند یکی از بهرهبرداریهای موفق بر روی مرورگر کروم انجام شد ولی حملهای بر روی دستگاه پیکسل گوگل گزارش نشد. جزئیات بهرهبرداری و آسیبپذیریها به شرکتهایی که مورد نفوذ قرار گرفتهاند ارائه شده و به آنها ۹۰ روز مهلت داده شده تا پیش از افشای عمومی این آسیبپذیریها، آنها را وصله کنند.
