Организаторы конкурса Pwn2Own Tokyo включили в него отдельную категорию для умных колонок, смарт-часов и IP-камер.
В программу конкурса хакеров Pwn2Own Tokyo впервые будут включены IoT-устройства, за взлом которых назначен призовой фонд $440 тыс. Помимо флагманских моделей смартфонов, в этом году участники попробуют свои силы во взломе умных колонок Google и Amazon, часов Apple Watch Series 3, а также двух моделей IP-камер. Состязание, традиционно ориентированное на азиатский рынок, пройдет 13 и 14 ноября.
В основных категориях конкурса объектами атаки этичных хакеров станут мобильные устройства пяти производителей. Организаторы предложили участникам взломать следующие телефоны:
Как и в прошлом году, соревнования будут проходить в четырех базовых категориях. За взлом встроенных браузеров смартфонов Huawei, Xiaomi и Samsung этичные хакеры могут получить по $25 тыс., а в случае с устройствами Google и Apple ставки увеличены до $50 тыс.
Соревнования в категории Short Distance предполагают проникновение на целевое устройство через уязвимости Wi-Fi, Bluetooth или технологии NFC. За успешную эксплуатацию бага любого из этих стандартов связи организаторы состязаний готовы выплатить от $30 тыс. до $60 тыс. В случае взлома при помощи SMS или MMS размер выплаты может достигать $75 тыс.
Дополнительное вознаграждение в категориях «Браузеры» и Short Distance участники могут получить за взлом с привилегиями ядра. Кроме того, существует специальный бонус за живучесть эксплойта — если вредоносная программа останется активной после перезагрузки телефона Pixel 2, ее автор получит $25 тыс., а в случае с iPhone X сумма будет увеличена вдвое.
Самые крупные призовые ожидают специалистов, сумевших подключить один из представленных на конкурс телефонов к фальшивой базовой станции. Успешная атака на устройства Huawei, Xiaomi и Samsung оценена в $50 тыс., а взломавшему iPhone X или Pixel 2 полагается в три раза бо?льшая сумма.
За взлом одного из устройств Интернета вещей организаторы предлагают от $40 тыс. до $60 тыс. Дороже всего оцениваются эксплойты для часов Apple Watch 3, колонки Amazon Echo второго поколения и помощника Google Home. Чуть меньшая сумма будет выплачена в случае компрометации IP-камер Nest Cam IQ Indoor и Amazon Cloud Cam.
В прошлогоднем Pwn2Own Tokyo приняли участие такие известные ИБ-специалисты, как китайская команда 360 Security и Ричард Жу (Richard Zhu). Конкурс проводится объединением Zero Day Initiative (ZDI) и помимо японского этапа включает в себя соревнование по взлому программных продуктов ведущих производителей. В этом году, например, этичные хакеры тестировали надежность браузеров Microsoft Edge, Apple Safari, Mozilla Firefox и других продуктов.