A Pwn2Own (trocadilho do inglês "invada para ser dono"[1]) é uma competição anual entre hackers, que acontece desde o ano de 2007, durante a conferência de segurança CanSecWest,[1][2][3] organizada pela Zero Day Initiative (ZDI) da empresa japonesa Trend Micro.[1][4] Os participantes são desafiados a explorar amplamente softwares e dispositivos móveis com vulnerabilidades previamente desconhecidas. Esta competição usa o sistema de pontos "Master of Pwn" para escolher o vencedor.[1]
Os vencedores do concurso junto com o prêmio em dinheiro, também recebem o dispositivo que eles exploraram as vulnerabilidades computacionais,[1] e uma jaqueta de "Masters" com o ano da sua vitória. O concurso serve para demonstrar as brechas de segurança dos dispositivos e softwares em uso generalizado, proporcionando também um posto de controle sobre os progressos realizados em matéria de segurança desde o ano anterior.
A edição de 2025 será em janeiro na cidade japonesa de Tóquio,[5][6][7] com foco na indústria automotiva.[5]
Histórico
2007
O primeiro concurso foi destinado a explorar brechas de segurança computacionais no sistema operacional Mac OS X da Apple,[1][3][8] e o navegador web Safari;[1] na época havia uma crença generalizada de que este sistema era muito mais seguro que os concorrentes.[8] O concurso ocorreu de 18 de abril à 20 de abril de 2007.
2024
Em 2024 ocorreram duas edições: a primeira edição Pwn2Own Vancouver 2024 realizado em 20-21 de março,[4][9] que teve como vencedor a empresa de segurança cibernética Synacktiv, que ganhou 200 mil dólares e o carro Tesla Model 3, por uma exploração de estouro de número inteiro da unidade de controle eletrônico (ECU) do Tesla com controle de barramento CAN (barramento de comunicação serial);[4] a segunda edição Pwn2Own Ireland 2024 realizada em 22-25 de outubro,[10] a empresa de segurança cibernética Viettel recebeu o prêmio "Master of Pwn" por conquistar um total de 33 pontos,[5][11] recebendo o prêmio de 205 mil dólares por falhas no QNAP NAS, Sonos speakers e, impressora Lexmark.[5]
2025
A edição de 2025 (Pwn2Own Auto 2025), está agendado para 22-24 de janeiro na cidade japonesa de Tóquio (Japão),[5][6][7] com foco na indústria automotiva e conta com quatro categorias: Tesla; In-Vehicle Infotainment (IVI); Electric Vehicle Chargers, e; Operating Systems.[5]
Exploits
Candidato/Empresa |
Afiliação |
Ano |
Alvo
|
Ref
|
Dino Dai Zovi |
Independente |
2007 |
Quicktime (Safari)
|
[12]
|
Shane Macauley |
Independente |
2007 |
Quicktime (Safari)
|
[12]
|
Charlie Miller |
ISE |
2008 |
Safari (PCRE)
|
|
Jake Honoroff |
ISE |
2008 |
Safari (PCRE)
|
|
Mark Daniel |
ISE |
2008 |
Safari (PCRE)
|
|
Shane Macauley |
Independente |
2008 |
Flash (Internet Explorer)
|
|
Alexander Sotirov |
Independente |
2008 |
Flash (Internet Explorer)
|
|
Derek Callaway |
Independente |
2008 |
Flash (Internet Explorer)
|
|
Charlie Miller |
ISE |
2009 |
Safari
|
[13]
|
Nils |
Independente |
2009 |
Internet Explorer, Safari e, Firefox
|
|
Charlie Miller |
ISE |
2010 |
Safari
|
|
Peter Vreugdenhil |
Independente |
2010 |
Internet Explorer
|
|
Nils |
Independent |
2010 |
Firefox
|
|
Ralf-Philipp Weinmann |
Independente |
2010 |
iOS
|
|
Vincenzo Iozzo |
Independente |
2010 |
iOS
|
|
VUPEN |
VUPEN |
2011 |
Safari 5 no MacBook Air
|
[14]
|
Stephen Fewer |
Harmony Security |
2011 |
Internet Explorer 8 e, ASLR e DEP no Windows 7
|
[14]
|
Charlie Miller |
ISE |
2011 |
iOS
|
|
Dion Blazakis |
ISE |
2011 |
iOS
|
|
Willem Pinckaers |
Independente |
2011 |
BlackberryOS
|
|
Vincenzo Iozzo |
Independente |
2011 |
BlackberryOS
|
|
Ralf-Philipp Weinmann |
Independente |
2011 |
BlackberryOS
|
|
VUPEN |
VUPEN |
2012 |
Unknown
|
|
Willem Pinckaers |
Independente |
2012 |
Unknown
|
|
Vincenzo Iozzo |
Independente |
2012 |
Unknown
|
|
VUPEN |
VUPEN |
2013 |
Internet Explorer, Flash, Java
|
|
Nils |
MWR Labs |
2013 |
Chrome
|
|
Jon |
MWR Labs |
2013 |
Chrome
|
|
George Hotz |
Independente |
2013 |
Adobe Reader
|
|
Joshua Drake |
Independente |
2013 |
Java
|
|
James Forshaw |
Independente |
2013 |
Java
|
|
Ben Murphy |
Independente |
2013 |
Java
|
|
Pinkie Pie |
Independente |
2013 (Mobile) |
Chrome
|
|
VUPEN
|
VUPEN
|
2014
|
Windows 8.1 e IE 11
|
|
Nico Joly
|
VUPEN
|
2014
|
Windows Phone e IE 11 (Mobile)
|
|
VUPEN
|
VUPEN
|
2014
|
Windows 8.1 e Adobe Reader XI, Chrome, Adobe Flash e, Mozilla Firefox
|
|
Liang Chen, Zhao Zeguang
|
equipe Keen, team509
|
2014
|
Windows 8.1 e Adobe Flash
|
|
Sebastian Apelt, Andreas Schmidt
|
Independente
|
2014
|
Windows 8.1 e IE 11
|
|
Jüri Aedla
|
Independente
|
2014
|
Windows 8.1 e Mozilla Firefox
|
|
Mariusz Mlynski
|
Independente
|
2014
|
Windows 8.1 e Mozilla Firefox
|
|
George Hotz
|
Independente
|
2014
|
Windows 8.1 e Mozilla Firefox
|
|
Liang Chen, Zhao Zeguang
|
equipe Keen, team509
|
2014
|
OSX Mavericks Safari
|
|
Jung Hoon Lee, "lokihardt"
|
Independente
|
2015
|
Windows, IE 11, Google Chrome e, Safari
|
[3][15]
|
Nico Golde, Daniel Komaromy
|
Independente
|
2015 (Mobile)
|
Samsung Galaxy S6 Baseband
|
|
Guang Gong
|
Qihoo 360
|
2015 (Mobile)
|
Nexus 6 Chrome
|
|
JungHoon Lee, "lokihardt"
|
|
2016
|
Safari e Edge
|
[16]
|
Synacktiv (Pwn2Own Vancouver)
|
Synacktiv
|
2024
|
Tesla Model 3
|
[4]
|
Viettel (Pwn2Own Ireland)
|
Viettel
|
2024
|
QNAP NAS, Sonos speakers e, impressora Lexmark
|
[5][11]
|
Referências
- ↑ a b c d e f g «Competição Pwn2Own paga R$ 2,5 milhões por 51 falhas em softwares». G1 Tecnologia. 28 de março de 2017. Consultado em 12 de dezembro de 2024
- ↑ Ruiu, Dragos (20 de março de 2007). «PWN to OWN (was Re: How Apple orchestrated web attack on researchers)». Consultado em 14 de março de 2014
- ↑ a b c Roh, Altieres (23 de março de 2015). «Internet Explorer, Chrome, Firefox e Safari são hackeados em competição». G1 Tecnologia. Consultado em 12 de dezembro de 2024
- ↑ a b c d «Maior prêmio do Pwn2Own foi para hack a um carro Tesla». CISO Advisor. 25 de março de 2024. Consultado em 12 de dezembro de 2024
- ↑ a b c d e f g «Over 70 zero-day flaws get hackers $1 million at Pwn2Own Ireland». Bleeping Computer (em inglês). Consultado em 12 de dezembro de 2024
- ↑ a b «Announcing Pwn2Own Automotive 2025». Zero Day Initiative / Trend Micro (em inglês). Consultado em 12 de dezembro de 2024
- ↑ a b «Pwn2Own Auto 2025 Rules». Zero Day Initiative / Trend Micro (em inglês). Consultado em 12 de dezembro de 2024
- ↑ a b «How long can a Mac survive the hacker jungle?». 26 de Março de 2007. Consultado em 1 de abril de 2012
- ↑ «Pwn2Own Vancouver 2024 - The Full Schedule». Zero Day Initiative (em inglês). Consultado em 12 de dezembro de 2024
- ↑ «Zero Day Initiative — Pwn2Own Ireland - The Full Schedule». Zero Day Initiative (em inglês). Consultado em 12 de dezembro de 2024
- ↑ a b «Zero Day Initiative — Pwn2Own Ireland 2024: Day Four and Master of Pwn». Zero Day Initiative (em inglês). Consultado em 12 de dezembro de 2024
- ↑ a b «QuickTime, not Safari, to blame for MacBook vuln» (em inglês). Consultado em 12 de dezembro de 2024
- ↑ «Mac security researcher wins Pwn2Own contest». Apple Insider. 19 de março de 2009
- ↑ a b Hardware (11 de março de 2011). «IE8 e Safari são 'hackeados' durante a Pwn2Own, e ninguém tenta o Chrome». Hardware.com.br. Consultado em 12 de dezembro de 2024
- ↑ «Pwn2Own 2015: The year every web browser went down | ZDNet». ZDNet. Consultado em 6 de maio de 2016
- ↑ «Safari, Flash, Edge e Chrome são atacados no evento 'Pwn2Own'». G1 Tecnologia. 22 de março de 2016. Consultado em 12 de dezembro de 2024
Ligações externas
Zero Day Initiative: Drawing for Order, Pwn2Own Ireland 2024 no YouTube