Hackers hebben op de Pwn2Own-wedstrijd 0-days en nieuwe exploittechnieken ingezet om hun doelwitten te kraken en over te nemen (pwnen). Op de eerste dag van de wedstrijd, ditmaal in Japan gehouden, is Apple's webbrowser Safari op iOS 6 én 7 voor de bijl gegaan. Daarnaast zijn Android-apps van Samsung gehackt, waarmee een Galaxy S4-smartphone is gepwned.

Ingebakken browsers als zwakke plekken

Vervolgens is op de tweede dag Google's browser Chrome gecompromitteerd draaiend op een Nexus 4 en een Samsung Galaxy S4. De bekende Chrome-hacker Pinkie Pie heeft opnieuw gaten gevonden in die browser en daarmee in twee stappen de Android-smartphones gekraakt. Alle gevonden gaten en de manier om er misbruik van te maken zijn via Pwn2Own-organisator HP doorgegeven aan de getroffen leveranciers.

Ook de Nexus 4 is op Pwn2Own gevallen voor hacks via 0-days:

In het geval van Apple's mobiele platform zijn zowel de huidige versie 7.0.3 gekraakt als de meest recente release 6.1.4 van de vorige versiereeks. Dat is gedaan op een iPhone 5, via het ingebouwde Safari. Een aanvaller kan hierlangs op afstand de hele cookie-database van de browser stelen, waaronder ook inloggegevens voor Facebook. Daarnaast kunnen dieven bij alle foto's die op de smartphone staan opgeslagen.

Samsung-apps compromitteren Galaxy's

In het geval van de Galaxy S4-hack is niet het onderliggende besturingssysteem Android gekraakt, maar hebben de hackers van het Japanse bedrijf Mitsui Bussan Secure Directions de voorgeïnstalleerde Samsung-apps gepakt. Dankzij kwetsbaarheden in die standaard aanwezige apps valt er stilletjes een eigen app te installeren. Die kwaadaardige software kan dan gebruikersgegevens stelen, waaronder sms-berichten, het adresboek en de lijst van bezochte websites.