Pwn2Own
| Data | 18-20 kwietnia 2007 |
|---|---|
| Czas | Dwa razy w roku |
| Czas trwania | 2 do 4 dni |
| Lokal | Konferencja bezpieczeństwa CanSecWest |
| Lokalizacja | Różny |
| Typ | Konkurs hakerski |
| Patron(y) | Inicjatywa dnia zerowego |
| Zorganizowane przez | Konferencja dotycząca bezpieczeństwa stosowanego CanSecWest |
| Nagrody | Nagrody pieniężne |
| Strona internetowa | Konferencja dotycząca bezpieczeństwa stosowanego CanSecWest |
Pwn2Own to konkurs hakowania komputerów , który odbywa się corocznie na konferencji poświęconej bezpieczeństwu CanSecWest . Konkurs, który po raz pierwszy odbył się w kwietniu 2007 r. w Vancouver, obecnie odbywa się dwa razy w roku, ostatnio w kwietniu 2021 r. Zadaniem uczestników jest wykorzystanie powszechnie używanego oprogramowania i urządzeń mobilnych z nieznanymi wcześniej lukami w zabezpieczeniach . Zwycięzcy konkursu otrzymują urządzenie, które wykorzystali oraz nagrodę pieniężną. Konkurs Pwn2Own ma na celu zademonstrowanie podatności urządzeń i oprogramowania w powszechnym użyciu, a także stanowi punkt kontrolny postępów poczynionych w zakresie bezpieczeństwa od poprzedniego roku.
Historia
Pochodzenie
Pierwszy konkurs w 2007 roku został wymyślony i opracowany przez Dragosa Ruiu w odpowiedzi na jego frustrację spowodowaną brakiem odpowiedzi Apple Inc. do konkurencyjnego systemu operacyjnego Windows . W tamtym czasie panowało powszechne przekonanie, że pomimo tych publicznych pokazów luk w produktach Apple, OS X był znacznie bezpieczniejszy niż jakikolwiek inny konkurent. 20 marca, mniej więcej trzy tygodnie przed CanSecWest w tym roku, Ruiu ogłosił konkurs Pwn2Own dla badaczy bezpieczeństwa na liście mailingowej DailyDave. Konkurs miał obejmować dwa MacBooki Pro , które zostawiłby na podłodze konferencyjnej, podłączone do własnego bezprzewodowego punktu dostępowego . Każdy uczestnik konferencji, który mógłby połączyć się z tym bezprzewodowym punktem dostępowym i wykorzystać jedno z urządzeń, mógłby opuścić konferencję z tym laptopem. Nie było nagrody pieniężnej. Nazwa „Pwn2Own” wywodzi się z faktu, że zawodnicy muszą „ pwn” . ” lub zhakować urządzenie, aby je „posiadać” lub wygrać.
Pierwszego dnia konferencji w Vancouver w Kolumbii Brytyjskiej Ruiu zaprosił Terri Forslof z Zero Day Initiative (ZDI) do wzięcia udziału w konkursie. ZDI posiada program, który kupuje ataki typu zero-day , zgłasza je dostawcy, którego dotyczy atak i zamienia je na sygnatury dla własnego systemu wykrywania włamań do sieci, zwiększając jego skuteczność. Luki sprzedane firmie ZDI są upubliczniane dopiero po opublikowaniu przez danego dostawcę łaty. Forslof zgodził się, aby ZDI zaoferowało zakup wszelkich luk w zabezpieczeniach wykorzystanych w konkursie za ryczałtową cenę 10 000 USD. Pierwszy konkurs następnie ujawnił wysoki profil QuickTime , który został ujawniony Apple 23 kwietnia i załatany na początku maja. W 2008 roku zakres konkursu Pwn2Own został rozszerzony. Cele obejmowały trzy laptopy z domyślną instalacją systemu Windows Vista , OS X lub Ubuntu Linux . Urządzenia mobilne zostały dodane w 2009 roku.
W 2012 roku zasady zostały zmienione na zawody typu „zdobądź flagę” z systemem punktowym. At i Chrome zostały z powodzeniem wykorzystane po raz pierwszy przez stałego zawodnika VUPEN . Po wycofaniu się z konkursu w tym roku z powodu nowych zasad ujawniania, w 2013 roku Google powrócił jako sponsor, a zasady zostały zmienione, aby wymagać pełnego ujawnienia exploitów i zastosowanych technik. W tym roku (2013) jeden badacz był w stanie zhakować Chrome, Firefox i IE , trifecta hack. Google przestał być sponsorem Pwn2Own w 2015 roku.
Ostatnie lata
W 2015 roku każda testowana przeglądarka internetowa została pomyślnie zhakowana i wygrała wszystkie nagrody o łącznej wartości 557 500 USD. Zwycięskim naukowcom przyznano również inne nagrody, takie jak laptopy. W 2018 roku konferencja była znacznie mniejsza i sponsorowana głównie przez Microsoft , po tym jak Chiny zabroniły swoim badaczom bezpieczeństwa udziału w konkursie.
Pwn2Own jest nadal sponsorowany przez inicjatywę Zero Day firmy Trend Micro , a ZDI zgłasza luki w zabezpieczeniach dostawcom przed upublicznieniem hacków. „Jeden z największych konkursów hakerskich na świecie” według TechCrunch , od 2019 roku konkurs odbywa się kilka razy w roku. Turniej Pwn2Own Tokyo odbył się w dniach 6-7 listopada w Tokio w Japonii i miał rozdać 750 000 $ w gotówce i nagrodach. Hacki koncentrują się na przeglądarkach, maszynach wirtualnych, komputerach i telefonach. W 2019 roku do konkursu po raz pierwszy dodano samochody, a na hacki wykorzystujące Teslę zaoferowano 900 000 $ oprogramowanie. W 2019 roku do konkursu dodano systemy sterowania przemysłowego.
System nagród
Zwycięzcy konkursu otrzymują urządzenie, które wykorzystali oraz nagrodę pieniężną. Zwycięzcy otrzymują również kurtkę „Masters” upamiętniającą rok ich zwycięstwa.
Lista udanych exploitów
Poniższa lista znanych hacków jest niekompletna.
| Hakerzy | Przynależność | Rok | Exploit Target | Wersja / system operacyjny | Źródło |
|---|---|---|---|---|---|
| Dino Dai Zovi | Niezależny | 2007 | QuickTime ( Safari ) | Mac OS X | |
| Shane'a Macauley'a | Niezależny | 2007 | QuickTime (Safari) | Mac OS X | |
| Charliego Millera | ISE | 2008 | Safari ( PCRE ) | Mac OS X 10.5 .2 | |
| Jake'a Honoroffa | ISE | 2008 | Safari (PCRE) | Mac OS X 10.5.2 | |
| Marka Daniela | ISE | 2008 | Safari (PCRE) | Mac OS X 10.5.2 | |
| Shane'a Macauley'a | Niezależny | 2008 | Adobe Flash ( Internet Explorer ) | Windows Vista Service Pack 1 | |
| Aleksander Sotirow | Niezależny | 2008 | Adobe Flash (Internet Explorer) | Windows Vista Service Pack 1 | |
| Derek Callaway | Niezależny | 2008 | Adobe Flash (Internet Explorer) | Windows Vista Service Pack 1 | |
| Charliego Millera | ISE | 2009 | Safari | Mac OS X | |
| Nils | Niezależny | 2009 | Internet Explorera 8 | Beta Windowsa 7 | |
| Nils | Niezależny | 2009 | Safari | Mac OS X | |
| Nils | Niezależny | 2009 | Mozilla Firefox | ||
| Charliego Millera | ISE | 2010 | Safari | Mac OS X | |
| Petera Vreugdenhila | Niezależny | 2010 | Internet Explorera 8 | System Windows 7 | |
| Nils | Niezależny | 2010 | Mozilla Firefox 3.6 | Windows 7 (64-bitowy) | |
| Ralfa-Philippa Weinmanna | Niezależny | 2010 | iPhone'a 3GS | iOS | |
| Vincenzo Iozzo | Niezależny | 2010 | iPhone'a 3GS | iOS | |
| VUPEN | VUPEN | 2011 | Safari 5.0.3 | Mac OS X 10 .6.6 | |
| Stefana Mniej | Bezpieczeństwo harmonii | 2011 | Internet Explorer 8 (32-bitowy) | Windows 7 z dodatkiem Service Pack 1 (64-bitowy) | |
| Charliego Millera | ISE | 2011 | iphone 4 | iOS 4.2 .1 | |
| Diona Blazakisa | ISE | 2011 | iphone 4 | iOS 4.2.1 | |
| Willema Pinckaersa | Niezależny | 2011 | BlackBerry Torch 9800 | BlackBerry OS 6 .0.0.246 | |
| Vincenzo Iozzo | Niezależny | 2011 | Latarka BlackBerry 9800 | BlackBerryOS 6.0.0.246 | |
| Ralfa-Philippa Weinmanna | Niezależny | 2011 | Latarka BlackBerry 9800 | BlackBerryOS 6.0.0.246 | |
| VUPEN | VUPEN | 2012 | Chrom | Windows 7 z dodatkiem Service Pack 1 (64-bitowy) | |
| VUPEN | VUPEN | 2012 | Internet Explorera 9 | System Windows 7 | |
| Willema Pinckaersa | Niezależny | 2012 | Mozilla Firefox | ||
| Vincenzo Iozzo | Niezależny | 2012 | Mozilla Firefox | ||
| VUPEN | VUPEN | 2013 | Internet Explorera 10 | Windows 8 | |
| VUPEN | VUPEN | 2013 | Adobe Flash | Windows 8 | |
| VUPEN | VUPEN | 2013 | Oracle Java | Windows 8 | |
| Nils | Laboratoria MWR | 2013 | Chrom | Windows 8 | |
| Jon | Laboratoria MWR | 2013 | Chrom | Windows 8 | |
| Jerzego Hotza | Niezależny | 2013 | Adobe Reader | Windows 8 | |
| Joshua Drake | Niezależny | 2013 | Oracle Java | Windows 8 | |
| Jamesa Forshawa | Niezależny | 2013 | Oracle Java | Windows 8 | |
| Bena Murphy'ego | Niezależny | 2013 | Oracle Java | Windows 8 | |
| Pinkie Pie | Niezależny | 2013 (mobilny) | Chrom | Android | |
| Nico Joly | VUPEN | 2014 (komórka) | Windows Phone ( Internet Explorer 11 ) | Windows 8.1 | |
| VUPEN | VUPEN | 2014 | Internet Explorera 11 | Windows 8.1 | |
| VUPEN | VUPEN | 2014 | Adobe Reader XI | Windows 8.1 | |
| VUPEN | VUPEN | 2014 | Chrom | Windows 8.1 | |
| VUPEN | VUPEN | 2014 | Adobe Flash | Windows 8.1 | |
| VUPEN | VUPEN | 2014 | Mozilla Firefox | Windows 8.1 | |
| Liang Chen, Zeguang Zhao | Zapalony zespół, zespół509 | 2014 | Adobe Flash | Windows 8.1 | |
| Sebastian Apelt, Andreas Schmidt | Niezależny | 2014 | Internet Explorera 11 | Windows 8.1 | |
| Jüri Aedla | Niezależny | 2014 | Mozilla Firefox | Windows 8.1 | |
| Mariusza Młyńskiego | Niezależny | 2014 | Mozilla Firefox | Windows 8.1 | |
| Jerzego Hotza | Niezależny | 2014 | Mozilla Firefox | Windows 8.1 | |
| Liang Chen, Zeguang Zhao | Zapalony zespół, zespół509 | 2014 | OS X Mavericks i Safari | ||
| Jung Hoon Lee, znany jako Lokihardt | Niezależny | 2015 | Internet Explorer 11, Google Chrome i Safari | ||
| Nico Golde, Daniel Komaromy | Niezależny | 2015 (mobilny) | Pasek podstawowy do Samsunga Galaxy S6 | Android | |
| Guang Gong | Qihoo 360 | 2015 (mobilny) | Nexus 6 Chrome | Android | |
| 2016 | |||||
| 2017 | iPhone 7, inne | iOS 11.1 | |||
| 2018 | |||||
| Fluorooctan | Niezależny | 2019 (mobilny) | Amazon Echo Show 5 | ||
| Pedro Ribeiro, Radek Domański | Wspomnienie | 2019 (mobilny) | Inteligentny router WiFi NETGEAR Nighthawk (LAN i WAN) | v3 (sprzęt) | |
| Pedro Ribeiro, Radek Domański | Wspomnienie | 2019 (mobilny) | Inteligentny router WiFi TP-Link AC1750 (LAN i WAN) | v5 (sprzęt) | |
| Mark Barnes, Toby Drew, Max Van Amerongen i James Loureiro | Laboratoria firmy F-Secure | 2019 (mobilny) | Xiaomi Mi9 (przeglądarka internetowa i NFC) | Android | |
| Mark Barnes, Toby Drew, Max Van Amerongen i James Loureiro | Laboratoria firmy F-Secure | 2019 (mobilny) | Inteligentny router WiFi TP-Link AC1750 (LAN i WAN) | v5 (sprzęt) | |
| Yong Hwi Jin, Jungwon Lim i Insu Yun | Laboratorium oprogramowania i bezpieczeństwa Georgia Tech Systems | 2020 (komputer stacjonarny) | Apple Safari z eskalacją uprawnień | System operacyjny Mac | |
| Ryszard Żu | Fluorescencja | 2020 (komputer stacjonarny) | Microsoft Windows | Okna | |
| Manfred Paweł | RedRocket | 2020 (komputer stacjonarny) | Pulpit Ubuntu | Ubuntu | |
| Amat Cama, Richard Zhu | Fluorooctan | 2020 (komputer stacjonarny) | Microsoft Windows | Okna | |
| Phi Phạm Hong | Laboratoria STAR | 2020 (komputer stacjonarny) | Oracle VirtualBox | Okna | |
| Amat Cama, Richard Zhu | Fluorooctan | 2020 (komputer stacjonarny) | Adobe Reader z eskalacją uprawnień | Okna | |
| Lucasa Leonga | Inicjatywa dnia zerowego | 2020 (komputer stacjonarny) | Oracle VirtualBox | Okna | |
| Laboratoria STAR | 2020 (Tokio) | NETGEAR Nighthawk R7800 (LAN) | |||
| Bezpieczeństwo Trapy | 2020 (Tokio) | Seria My Cloud Pro firmy Western Digital PR4100 | |||
| Pedro Ribeiro, Radek Domański | Wspomnienie | 2020 (Tokio) | NETGEAR Nighthawk R7800 (sieć WAN) | ||
| 84c0 | 2020 (Tokio) | Seria My Cloud Pro firmy Western Digital PR4100 | |||
| Bezpieczeństwo cybernetyczne firmy Viettel | 2020 (Tokio) | Samsunga Q60T | |||
| Bezpieczeństwo Trapy | 2020 (Tokio) | NETGEAR Nighthawk R7800 (LAN) | |||
| Pedro Ribeiro, Radek Domański | Wspomnienie | 2020 (Tokio) | Inteligentne Wi-Fi TP-Link AC1750 | ||
| Skala błędu | 2020 (Tokio) | Seria My Cloud Pro firmy Western Digital PR4100 | |||
| 84c0 | 2020 (Tokio) | NETGEAR Nighthawk R7800 (LAN) | |||
| Laboratoria firmy F-Secure | 2020 (Tokio) | Samsunga Q60T | |||
| Sama Thomasa | Pentest spółka z ograniczoną odpowiedzialnością | 2020 (Tokio) | Seria My Cloud Pro firmy Western Digital PR4100 | ||
| Synaktyw | 2020 (Tokio) | TP-Link AC1750 Inteligentne Wi-Fi (LAN) | |||
| DEVCORE | 2020 (Tokio) | Synology DiskStation DS418Play NAS | |||
| DEVCORE | 2020 (Tokio) | Seria My Cloud Pro firmy Western Digital PR4100 | |||
| Gaurav Baruah | 2020 (Tokio) | Seria My Cloud Pro firmy Western Digital PR4100 | |||
| Bezpieczeństwo cybernetyczne firmy Viettel | 2020 (Tokio) | Sony X800 | |||
| Laboratoria STAR | 2020 (Tokio) | Synology DiskStation DS418Play NAS | |||
| Daty Jacka | Systemy RET2 | 2021 (Vancouver) | Apple Safari z eskalacją uprawnień | ||
| DEVCORE | 2021 (Vancouver) | Microsoft Exchange | |||
| OW | 2021 (Vancouver) | Zespoły Microsoftu | |||
| Bezpieczeństwo cybernetyczne firmy Viettel | 2021 (Vancouver) | Microsoft Windows | Okna 10 | ||
| Ryota Shiga | Flatt Security Inc | 2021 (Vancouver) | Pulpit Ubuntu | Ubuntu | |
| Daty Jacka | Systemy RET2 | 2021 (Vancouver) | Pulpit Parallels | ||
| Bruno Keith, Niklas Baumstark | Bezpieczeństwo przepływu danych | 2021 (Vancouver) | Google Chrome, Microsoft Edge | ||
| Bezpieczeństwo cybernetyczne firmy Viettel | 2021 (Vancouver) | Microsoft Exchange | |||
| Daan Keuper, Thijs Alkemade | komputer | 2021 (Vancouver) | Powiększenie | Okna | |
| Tao Yan | Sieci Palo Alto | 2021 (Vancouver) | Microsoft Windows | Okna 10 | |
| Park Sunjoo | 2021 (Vancouver) | Pulpit Parallels | |||
| Manfred Paweł | 2021 (Vancouver) | Pulpit Ubuntu | Ubuntu | ||
| z3r09 | 2021 (Vancouver) | Microsoft Windows | Okna 10 | ||
| Benjamina McBride'a | L3Harris Trenchant | 2021 (Vancouver) | Pulpit Parallels | ||
| Stevena Seeleya | Źródło Incite | 2021 (Vancouver) | Microsoft Exchange | ||
| Menażka | Laboratoria STAR | 2021 (Vancouver) | Pulpit Ubuntu | Ubuntu | |
| Fabiena Perigauda | Synaktyw | 2021 (Vancouver) | Microsoft Windows | Okna 10 | |
| Alicja Esage | 2021 (Vancouver) | Pulpit Parallels | |||
| Wincentego Dehorsa | Synaktyw | 2021 (Vancouver) | Pulpit Ubuntu | Ubuntu | |
| Da Lao | 2021 (Vancouver) | Pulpit Parallels | |||
| Marcina Wiazowskiego | 2021 (Vancouver) | Microsoft Windows | Okna 10 |
Coroczne konkursy
2007
Zawody odbywały się od czwartku 18 kwietnia do soboty 20 kwietnia 2007 roku w Vancouver. Pierwszy konkurs miał na celu podkreślenie niepewności Mac OS X firmy Apple , ponieważ w tamtym czasie panowało powszechne przekonanie, że OS X jest znacznie bezpieczniejszy niż jego konkurenci. Jeśli chodzi o zasady, tylko dwa laptopy MacBook Pro, jeden 13-calowy i jeden 15-calowy, pozostawiono na podłodze konferencyjnej w CanSecWest i podłączono do oddzielnej sieci bezprzewodowej. Dozwolone były tylko niektóre ataki, a ograniczenia te były stopniowo luzowane w ciągu trzech dni konferencji. Dzień 1 zezwalał tylko na ataki zdalne, dzień 2 obejmował ataki na przeglądarkę, natomiast dzień 3 zezwalał na ataki lokalne, w których uczestnicy mogli łączyć się z USB lub Bluetooth . Aby wygrać 15-calowego MacBooka Pro, uczestnicy musieliby dalej zwiększać swoje uprawnienia do rootowania po uzyskaniu dostępu za pomocą początkowego exploita.
Laptopy nie zostały zhakowane pierwszego dnia. Po ogłoszeniu nagrody w wysokości 10 000 $ przez ZDI, Shane Macaulay zadzwonił do byłego współpracownika Dino Dai Zovi w Nowym Jorku i namówił go do rywalizacji drugiego dnia. W ciągu jednej nocy Dai Zovi znalazł i wykorzystał nieznaną wcześniej lukę w QuickTime załadowanej przez Safari. Następnego ranka Dai Zovi wysłał swój kod exploita do Macaulaya, który umieścił go na stronie internetowej i przesłał organizatorom konkursu e-mailem link do niego. Po kliknięciu łącze dało Macauleyowi kontrolę nad laptopem, wygrywając konkurs przez pełnomocnika Dai Zovi, który dał Macaulayowi 15-calowego MacBooka Pro. Dai Zovi osobno sprzedał lukę firmie ZDI za nagrodę w wysokości 10 000 USD.
2008
Pwn2Own 2008 odbywał się od czwartku 26 marca do soboty 28 marca 2008. Po udanym konkursie z 2007 roku zakres konkursu rozszerzył się o szerszą gamę systemów operacyjnych i przeglądarek. Konkurs pokazałby powszechną niepewność wszelkiego oprogramowania powszechnie używanego przez konsumentów. Dragos udoskonalił konkurs z pomocą szerokiego panelu ekspertów branżowych, a konkursem zarządzało ZDI, które ponownie oferowało zakup luk po ich zademonstrowaniu. Podobnie jak w przypadku wszystkich luk kupowanych przez ZDI, szczegóły luk wykorzystywanych w Pwn2Own byłyby udostępniane zainteresowanym dostawcom, a informacje publiczne byłyby wstrzymywane do czasu udostępniono łatkę . Wszyscy uczestnicy, którzy pomyślnie zademonstrowali exploity w konkursie, mogli sprzedać swoje luki ZDI za nagrody w wysokości 20 000 USD pierwszego dnia, 10 000 USD drugiego dnia i 5000 USD trzeciego dnia. Podobnie jak w ubiegłorocznym konkursie, każdego dnia dozwolone były tylko niektóre ataki. Cele obejmowały trzy laptopy z domyślną instalacją systemu Windows Vista Ultimate SP1 , Mac OS X 10.5.2 lub Ubuntu Linux 7.10 . Pierwszego dnia obserwowaliśmy tylko zdalne ataki; uczestnicy musieli dołączyć do tej samej sieci, co docelowy laptop i przeprowadzić atak bez interakcji użytkownika i bez uwierzytelnienia. Dzień 2 obejmował ataki na przeglądarki i wiadomości błyskawiczne , a także złośliwe ataki na strony internetowe z odsyłaczami wysyłanymi do organizatorów w celu kliknięcia. Dzień 3 zawierał aplikacje klienckie innych firm. Uczestnicy mogli kierować reklamy na popularne oprogramowanie innych firm, takie jak przeglądarki, Adobe Flash , Java , Apple Mail , iChat , Skype , AOL i Microsoft Silverlight .
Jeśli chodzi o wynik, laptop z systemem OS X został wykorzystany drugiego dnia konkursu przy użyciu exploita dla przeglądarki Safari, którego współautorem byli Charlie Miller , Jake Honoroff i Mark Daniel z Independent Security Evaluators. Celem ich exploita był podkomponent przeglądarki Safari o otwartym kodzie źródłowym. Laptop z systemem Windows Vista SP1 został wykorzystany trzeciego dnia konkursu z wykorzystaniem exploita dla Adobe Flash , którego współautorem byli Shane Macaulay, Alexander Sotirov i Derek Callaway. Po konkursie firma Adobe ujawniła, że wspólnie odkryła tę samą lukę wewnętrznie i pracowała nad poprawką w czasie Pwn2Own. Laptop działa Ubuntu nie zostało wykorzystane.
2009
Pwn2Own 2009 odbył się w ciągu trzech dni CanSecWest od czwartku, 18 marca do soboty, 20 marca 2009. Po znacznie większym sukcesie ukierunkowanym na przeglądarki internetowe niż jakakolwiek inna kategoria oprogramowania w 2007 roku, trzeci Pwn2Own skupił się na popularnych przeglądarkach używanych na urządzeniach konsumenckich stacjonarne systemy operacyjne. Dodano kolejną kategorię urządzeń mobilnych, które uczestnicy musieli zhakować za pomocą wielu wektorów zdalnych ataków, w tym poczty e-mail, wiadomości SMS i przeglądania stron internetowych. Wszyscy uczestnicy, którzy zademonstrowali udane exploity w konkursie, otrzymali od ZDI nagrody za luki w zabezpieczeniach, 5000 $ za exploity przeglądarki i 10 000 $ za exploity mobilne.
Jeśli chodzi o reguły przeglądarek internetowych, docelowymi przeglądarkami były Internet Explorer 8 , Firefox i Chrome zainstalowane na komputerze Sony Vaio z systemem Windows 7 Beta oraz Safari i Firefox zainstalowane na komputerze MacBook z systemem Mac OS X. Wszystkie przeglądarki zostały w pełni załatane i miały domyślne konfiguracje pierwszego dnia dzień konkursu. Podobnie jak w poprzednich latach, konkurs powierzchni ataku rozszerzył się w ciągu trzech dni. Pierwszego dnia uczestnicy musieli skupić się na funkcjonalności w domyślnej przeglądarce bez dostępu do jakichkolwiek wtyczek. Drugiego dnia Adobe Flash, Java, Microsoft .NET Framework i QuickTime zostały uwzględnione. Trzeciego dnia dołączono inne popularne wtyczki innych firm, takie jak Adobe Reader . Dozwolonych było wielu zwycięzców na cel, ale tylko pierwszy zawodnik, który wykorzysta każdy laptop, otrzyma go. Wśród docelowych urządzeń mobilnych znalazły się BlackBerry , Android , Apple iPhone 2.0 ( T-Mobile G1 ), Symbian (Nokia N95 ) i Windows Mobile ( HTC Touch ) w ich domyślnych konfiguracjach.
Podobnie jak w przypadku konkursu przeglądarkowego, powierzchnia ataku dostępna dla uczestników rozszerzyła się w ciągu trzech dni. Aby udowodnić, że udało im się złamać zabezpieczenia urządzenia, uczestnicy musieli wykazać, że są w stanie zebrać poufne dane z urządzenia mobilnego lub ponieść jakąś stratę finansową ze strony właściciela urządzenia mobilnego. Pierwszego dnia urządzenie mogło odbierać SMS-y, MMS-y i e-maile, ale wiadomości nie można było odczytać. Wi-Fi (jeśli domyślnie włączone), Bluetooth (jeśli domyślnie włączone) i stos radiowy również były w zasięgu. Drugiego dnia można było otwierać i czytać wiadomości SMS, MMS i e-mail. Wi-Fi było włączone, a Bluetooth można było włączyć i sparować z pobliskim zestawem słuchawkowym (dodatkowe parowanie niedozwolone). Dzień 3 umożliwił jeden poziom interakcji użytkownika z domyślnymi aplikacjami. Dozwolonych było wielu zwycięzców na urządzenie, ale otrzymał je tylko pierwszy uczestnik, który wykorzysta każde urządzenie mobilne (wraz z roczną umową telefoniczną).
Jeśli chodzi o wynik, w oparciu o zwiększone zainteresowanie rywalizacją w 2009 roku, ZDI zorganizowało losową selekcję, aby określić, która drużyna jako pierwsza zmierzy się z każdym celem. Pierwszym wybranym zawodnikiem był Charlie Miller . Eksploatował Safari na OS X bez pomocy jakichkolwiek wtyczek do przeglądarek. W wywiadach po wygraniu konkursu Miller podkreślał, że chociaż uruchomienie exploita przeciwko Safari zajęło mu tylko kilka minut, zbadanie i opracowanie exploita, którego użył, zajęło mu wiele dni. Badacz zidentyfikowany jako Nils został wybrany do ścigania Millera. Nils z powodzeniem uruchomił exploit przeciwko Internet Explorerowi 8 w systemie Windows 7 Beta. Pisząc ten exploit, Nils musiał ominąć zabezpieczenia przed wykorzystaniem, które Microsoft wdrożył w Internet Explorerze 8 i Windows 7, w tym Data Execution Protection (DEP) i Randomizacja układu przestrzeni adresowej (ASLR). Nils kontynuował próby w innych przeglądarkach. Chociaż Miller wykorzystał już Safari na OS X, Nils ponownie wykorzystał tę platformę, a następnie z powodzeniem wykorzystał Firefoksa. Pod koniec pierwszego dnia Julien Tinnes i Sami Koivu (zdalnie) z powodzeniem wykorzystali Firefoksa i Safari w systemie OS X z luką w Javie. W tamtym czasie OS X miał domyślnie włączoną Javę, co pozwalało na niezawodną eksploatację na tej platformie. Jednak ze względu na zgłoszenie luk sprzedawcy, udział Tinnesa wykraczał poza zasady konkursu i nie mógł zostać nagrodzony. Kolejne dni zawodów nie przyciągnęły dodatkowych uczestników. Chrome, podobnie jak wszystkie urządzenia mobilne, nie był używany w Pwn2Own 2009.
2010
Konkurs rozpoczął się 24 marca 2010 r., a jego łączna pula nagród pieniężnych wyniosła 100 000 USD. 15 marca — dziewięć dni przed rozpoczęciem konkursu — firma Apple wydała szesnaście poprawek dla WebKit i Safari. Jeśli chodzi o oprogramowanie do wykorzystania, 40 000 USD ze 100 000 USD zarezerwowano dla przeglądarek internetowych, gdzie każdy cel jest wart 10 000 USD. Dzień 1 obejmował Microsoft Internet Explorer 8 w Windows 7 , Mozilla Firefox 3.6 w Windows 7, Google Chrome 4 w Windows 7 i Apple Safari 4 w Mac OS X Snow Leopard . Dzień 2 zawierał Microsoft Internet Explorer 8 na Windows Vista , Mozilla Firefox 3 w systemie Windows Vista, Google Chrome 4 w systemie Windows Vista i Apple Safari 4 w systemie Mac OS X Snow Leopard. Dzień 3 obejmował Microsoft Internet Explorer 8 w systemie Windows XP , Mozilla Firefox 3 w systemie Windows XP, Google Chrome 4 w systemie Windows XP i Apple Safari 4 w systemie Mac OS X Snow Leopard. 60 000 $ z łącznej puli nagród pieniężnych w wysokości 100 000 $ zostało przeznaczone na część konkursu dotyczącą telefonów komórkowych, a każdy cel był wart 15 000 $. Należą do nich Apple iPhone 3GS , RIM BlackBerry Bold 9700 , urządzenie Nokia E72 z systemem Symbian oraz HTC Nexus One z Androidem .
Przeglądarka internetowa Opera została wykluczona z konkursu jako cel: zespół ZDI argumentował, że Opera ma niski udział w rynku, a Chrome i Safari są uwzględnione tylko „ze względu na ich domyślną obecność na różnych platformach mobilnych”. Jednak silnik renderujący Opery, Presto , jest obecny na milionach platform mobilnych.
Wśród udanych exploitów znalazł się przypadek, gdy Charlie Miller z powodzeniem zhakował Safari 4 w systemie Mac OS X. Nils zhakował Firefoksa 3.6 w 64-bitowym systemie Windows 7 , wykorzystując lukę w zabezpieczeniach umożliwiającą uszkodzenie pamięci i omijając ASLR i DEP, po czym Mozilla załatała lukę bezpieczeństwa w Firefoksie 3.6.3 . Ralf-Philipp Weinmann i Vincenzo Iozzo zhakowali iPhone'a 3GS, omijając cyfrowe podpisy kodu używane w iPhonie, aby zweryfikować, czy kod w pamięci pochodzi od Apple. Peter Vreugdenhil wykorzystał Internet Explorera 8 w systemie Windows 7, wykorzystując dwie luki, które obejmowały ominięcie ASLR i obejście funkcji DEP .
2011
Konkurs 2011 odbył się w dniach 9-11 marca podczas konferencji CanSecWest w Vancouver. Wśród przeglądarek docelowych konkursu w 2011 r. znalazły się Microsoft Internet Explorer, Apple Safari, Mozilla Firefox i Google Chrome. Nowością w konkursie Pwn2Own był fakt, że dopuszczono nową powierzchnię ataku do penetracji telefonów komórkowych, w szczególności przez pasma podstawowe telefonów komórkowych . Telefony docelowe to Dell Venue Pro z systemem Windows Phone 7 , iPhone 4 z systemem iOS , BlackBerry Torch 9800 z systemem BlackBerry OS 6.0 i Nexus S z systemem Android 2.3. Kilka drużyn zgłosiło się do konkursu na przeglądarkę komputerową. W przypadku Apple Safari zarejestrowani konkurenci to VUPEN, Anon_07, Team Anon, Charlie Miller. Mozilla Firefox zawierała Sama Thomasa i Anonymous_1. W zespołach Microsoft Internet Explorer znaleźli się Stephen Fewer, VUPEN, Sam Thomas i Ahmed M Sleet. Zespoły Google Chrome obejmowały Moatz Khader, Team Anon i Ahmed M Sleet. W kategorii przeglądarek mobilnych zarejestrowały się następujące drużyny. W przypadku próby włamania do Apple iPhone zespoły obejmowały Anon_07, Dion Blazakis i Charlie Miller, Team Anon, Anonymous_1 i Ahmed M Sleet. Aby zhakować RIM Blackberry, zespoły Anonymous_1, Team Anon i Ahmed M Sleet. Aby zhakować Samsung Nexus S , zespoły obejmowały Jon Oberheide, Anonymous_1, Anon_07 i Team Anonymous. Aby zhakować Dell Venue Pro , zespoły obejmowały George Hotz , Team Anonymous, Anonymous_1 i Ahmed M Sleet.
Podczas pierwszego dnia zawodów Safari i Internet Explorer zostały pokonane przez badaczy. Safari w wersji 5.0.3 było zainstalowane na w pełni załatanym systemie Mac OS X 10.6.6. Francuska firma bezpieczeństwa VUPEN jako pierwsza zaatakowała przeglądarkę. Internet Explorer był 32-bitową wersją 8 zainstalowaną w 64-bitowym systemie Windows 7 z dodatkiem Service Pack 1. Badacz bezpieczeństwa Stephen Fewer z Harmony Security z powodzeniem wykorzystał IE. Zostało to zademonstrowane Podobnie jak w przypadku Safari. Drugiego dnia wykorzystano zarówno iPhone'a 4, jak i Blackberry Torch 9800. Na iPhonie działał system iOS 4.2.1, jednak luka istnieje w wersji 4.3 systemu iOS. Badacze bezpieczeństwa Charliego Millera i Dion Blazakis byli w stanie uzyskać dostęp do książki adresowej iPhone'a poprzez lukę w Mobile Safari, odwiedzając ich stronę internetową pełną exploitów. Telefon Blackberry Torch 9800 działał pod kontrolą BlackBerry OS 6.0.0.246. Zespół złożony z Vincenzo Iozzo, Willema Pinckaersa i Ralfa Philippa Weinmanna wykorzystał lukę w przeglądarce internetowej opartej na Blackberry WebKit, odwiedzając wcześniej przygotowaną stronę internetową. Firefox, Android i Windows Phone 7 miały zostać przetestowane drugiego dnia, ale badacze bezpieczeństwa wybrani dla tych platform nie próbowali żadnych exploitów. Sam Thomas został wybrany do przetestowania Firefoksa, ale wycofał się, stwierdzając, że jego exploit nie jest stabilny. Badacze wybrani do testowania Androida i Windows Phone 7 nie pojawili się. Żaden zespół nie pojawił się trzeciego dnia. Chrome i Firefox nie zostały zhakowane.
2012
W 2012 roku zasady zostały zmienione na zawody w stylu przechwytywania flagi z systemem punktowym. Nowy format spowodował, że Charlie Miller , odnoszący sukcesy na imprezie w poprzednich latach, zdecydował się nie uczestniczyć, ponieważ wymagał napisania „na miejscu” exploitów, które zdaniem Millera faworyzowały większe zespoły. Hakerzy wystąpili przeciwko czterem głównym przeglądarkom.
Na Pwn2Own 2012 po raz pierwszy pomyślnie wykorzystano Chrome. VUPEN odmówił ujawnienia, w jaki sposób uciekli z piaskownicy, mówiąc, że sprzedadzą informacje. Internet Explorer 9 w systemie Windows 7 został pomyślnie wykorzystany jako następny. Firefox był trzecią przeglądarką, która została zhakowana przy użyciu exploita dnia zerowego .
Safari w systemie Mac OS X Lion była jedyną przeglądarką, która pozostała po zakończeniu części dnia zerowego pwn2own. Wersje przeglądarki Safari, które nie zostały w pełni załatane i działały w systemie Mac OS X Snow Leopard, zostały naruszone podczas części CVE pwn2own. W systemie Lion wprowadzono znaczące ulepszenia zabezpieczeń w systemie Mac OS X. [ potrzebne źródło ]
Kontrowersje z Google
Google wycofał się ze sponsorowania wydarzenia, ponieważ zasady z 2012 roku nie wymagały pełnego ujawnienia exploitów od zwycięzców, w szczególności exploitów służących do wyrwania się ze środowiska piaskownicy i zademonstrowania exploitów, które nie „wygrały”. Pwn2Own bronił decyzji, twierdząc, że żaden haker nie próbowałby wykorzystać Chrome, gdyby ujawniono jego metody. Google zaoferował osobny konkurs „Pwnium”, w którym oferowano do 60 000 $ za exploity specyficzne dla Chrome. Gwarantowano natychmiastowe zgłoszenie luk w zabezpieczeniach innych niż Chrome odpowiedniemu dostawcy. Sergey Glazunov i nastolatek zidentyfikowany jako „PinkiePie” zarobili po 60 000 $ za exploity, które ominęły piaskownicę bezpieczeństwa. Google wydało poprawkę użytkownikom Chrome w mniej niż 24 godziny po zademonstrowaniu exploitów Pwnium.
2013
W 2013 roku Google powrócił jako sponsor, a zasady zostały zmienione, aby wymagać pełnego ujawnienia exploitów i zastosowanych technik. Konkurs Mobile Pwn2Own 2013 odbył się w dniach 13-14 listopada 2013 podczas konferencji PacSec 2013 w Tokio. Eksploatowane były przeglądarki internetowe Google Chrome, Internet Explorer i Firefox, a także Windows 8 i Java. Adobe również dołączył do konkursu, dodając Reader i Flash. Apple Safari na Mountain Lion nie było celem, ponieważ nie pojawił się żaden zespół.
Francuska firma bezpieczeństwa VUPEN z powodzeniem wykorzystała w pełni zaktualizowaną przeglądarkę Internet Explorer 10 na Microsoft Surface Pro z 64-bitową wersją systemu Windows 8 i całkowicie ominęła piaskownicę trybu chronionego bez zawieszania się lub zawieszania przeglądarki. Następnie zespół VUPEN wykorzystał przeglądarki Mozilla Firefox, Adobe Flash i Oracle Java. Pinkie Pie wygrała 50 000 $, a 14 listopada Google wydało aktualizacje Chrome, aby zaradzić wykorzystanym lukom. Nilsowi i Jonowi z MWRLabs udało się wykorzystać Google Chrome przy użyciu WebKit i luk w jądrze Windows, aby ominąć piaskownicę Chrome i wygrać 100 000 $. Jerzego Hotza wykorzystał Adobe Acrobat Reader i uciekł z piaskownicy, aby wygrać 70 000 $. James Forshaw, Joshua Drake i Ben Murphy niezależnie wykorzystali Oracle Java, aby wygrać po 20 000 USD.
W konkursie mobilnym uczestnicy wygrali 117 500 $ z puli nagród wynoszącej 300 000 $.
2014
Na targach Pwn2Own 2014 w marcu w Vancouver odbyła się konferencja CanSecWest, sponsorowana przez firmę Hewlett-Packard . Wszystkie cztery docelowe przeglądarki przypadły badaczom, a uczestnicy wygrali ogółem 850 000 $ z dostępnej puli 1 085 000 $. Firma VUPEN z powodzeniem wykorzystała w pełni zaktualizowaną przeglądarkę Internet Explorer 11 , Adobe Reader XI, Google Chrome, Adobe Flash i Mozilla Firefox w 64-bitowej wersji systemu Windows 8.1 , aby wygrać łącznie 400 000 USD — najwyższą jak dotąd wypłatę dla pojedynczego konkurenta. Firma wykorzystała łącznie 11 różnych luk dnia zerowego.
Wśród innych udanych exploitów w 2014 roku, Internet Explorer 11 został wykorzystany przez Sebastiana Apelta i Andreasa Schmidta za nagrodę w wysokości 100 000 $. Apple Safari w systemie Mac OS X Mavericks i Adobe Flash w systemie Windows 8.1 zostały z powodzeniem wykorzystane przez Liang Chen z Keen Team i Zeguang Zhao z team509. Mozilla Firefox została wykorzystana trzy razy pierwszego dnia i jeszcze raz drugiego dnia, a HP przyznał naukowcom 50 000 $ za każdą ujawnioną w tym roku lukę w Firefoksie. Zarówno Vupen, jak i anonimowy uczestnik wykorzystywali Google Chrome. Vupen zarobił 100 000 $ za crack, podczas gdy anonimowy uczestnik otrzymał obniżoną nagrodę w wysokości 60 000 $, ponieważ ich atak opierał się na luce w zabezpieczeniach ujawnionej dzień wcześniej podczas konkursu Google Pwnium. Również Nico Joly z zespołu VUPEN zajął się Windows Phone ( Lumia 1520 ), ale nie był w stanie uzyskać pełnej kontroli nad systemem. W 2014 roku Keen Lab zhakował system Windows 8.1 Adobe Flash w 16 sekund, a także system OSX Mavericks Safari w 20 sekund.
2015–2017
Wszystkie dostępne nagrody zostały odebrane w marcu 2015 roku w Vancouver, a wszystkie przeglądarki zostały zhakowane na łączną kwotę 557 500 USD i inne nagrody. Najlepszym hakerem okazał się Jung Hoon Lee, który wyeliminował „IE 11, zarówno stabilną, jak i beta wersję Google Chrome oraz Apple Safari” i zarobił 225 000 $ nagrody pieniężnej. Inne hacki obejmowały włamanie Team509 i KeenTeem do Adobe Flash oraz inne przerwy w Adobe Reader. Ogólnie rzecz biorąc, w systemie operacyjnym Windows było 5 błędów, 4 w Internet Explorerze 11, 3 w Firefox, Adobe Reader i Adobe Flash, 2 w Safari i 1 w Chrome. Google przestał być sponsorem Pwn2Own w 2015 roku.
Podczas konkursu w marcu 2016 r. „Każdy ze zwycięskich zgłoszeń był w stanie uniknąć środków zaradczych związanych z piaskownicą, wykorzystując luki w podstawowych systemach operacyjnych”. W 2016 roku zhakowano Chrome, Microsoft Edge i Safari. Według Briana Gorenca, kierownika Vulnerability Research w HPE , postanowili nie uwzględniać Firefoksa w tym roku, ponieważ „chcieli skupić się na przeglądarkach, które [dokonały] poważnych ulepszeń bezpieczeństwa w ciągu ostatniego roku”. W 2016 roku Qihoo360 z powodzeniem włamał się do Pixela w mniej niż 60 sekund.
W marcu 2017 roku w Vancouver po raz pierwszy hakerzy włamali się do piaskownicy maszyny wirtualnej VMWare. W 2017 roku Chrome nie miał żadnych udanych włamań (chociaż tylko jeden zespół próbował zaatakować Chrome), kolejne przeglądarki, które wypadły najlepiej, to kolejno Firefox, Safari i Edge. Mobile Pwn2Own odbył się 1 i 2 listopada 2017 roku. W konkursie wzięli udział przedstawiciele firm Apple, Google i Huawei. Z powodzeniem zhakowano również różne smartfony, w tym te korzystające z oprogramowania Apple iOS 11.1. „11 udanych ataków” dotyczyło iPhone’a 7, Huawei Mate 9 Pro i Samsunga Galaxy S8 . Piksel Google nie został zhakowany. Ogólnie rzecz biorąc, ZDI w tym roku przyznało 833 000 USD na odkrycie 51 błędów dnia zerowego. Zespół Qihoo 360 zdobył główną nagrodę w 2017 roku.
2018
W 2018 roku konferencja była znacznie mniejsza i sponsorowana głównie przez Microsoft. Chiny zakazały swoim badaczom bezpieczeństwa udziału w konkursie, mimo że obywatele Chin wygrywali w przeszłości, i zakazały ujawniania luk w zabezpieczeniach obcokrajowcom. W szczególności Tencent i 360Vulcan z Qihoo 360's nie weszły, ani żaden inny obywatel Chin. Puchar Tianfu został następnie zaprojektowany jako „chińska wersja Pwn2Own”, również odbywający się dwa razy w roku. Ponadto na krótko przed konferencją w 2018 r. Microsoft załatał kilka luk w zabezpieczeniach Edge, co spowodowało wycofanie się wielu zespołów. Niemniej jednak znaleziono pewne luki w przeglądarkach Edge, Safari, Firefox i innych. Nie podjęto żadnych prób hakowania Chrome, chociaż oferowana nagroda była taka sama jak w przypadku Edge. Hakerom ostatecznie przyznano 267 000 $. Podczas gdy wiele produktów Microsoft miało duże nagrody dostępne dla każdego, kto był w stanie uzyskać dostęp za ich pośrednictwem, tylko Edge został pomyślnie wykorzystany, a także Safari i Firefox.
2019
W marcu 2019 r. w Vancouver na konferencji CanSecWest odbył się konkurs, w którym przewidziano takie kategorie jak VMware ESXi , VMware Workstation , Oracle VirtualBox , Chrome, Microsoft Edge i Firefox, a także Tesla. Tesla wprowadziła swój nowy Model 3 , a para badaczy zarobiła 375 000 $ i samochód, który zhakowali po znalezieniu poważnego błędu losowego losowania pamięci w systemie informacyjno-rozrywkowym samochodu . Był to również pierwszy rok, w którym zezwolono na hakowanie urządzeń z kategorii automatyki domowej .
W październiku 2019 roku Politico poinformowało, że kolejna edycja Pwn2Own dodała przemysłowe systemy sterowania. Pwn2Own Tokyo odbywało się od 6 do 7 listopada i miało rozdać 750 000 $ w gotówce i nagrodach. Zgłoszono portal Facebook , podobnie jak Amazon Echo Show 5 , Google Nest Hub Max, Amazon Cloud Cam i Nest Cam IQ Indoor. Zgłoszono także Oculus Quest zestaw wirtualnej rzeczywistości. W 2019 roku zespół wygrał 60 000 $ włamując się do Amazon Echo Show 5. Zrobili to, włamując się do „luki w poprawkach”, która łączyła starsze oprogramowanie załatane na inne platformy, ponieważ inteligentny ekran korzystał ze starej wersji Chromium . Zespół podzielił się ustaleniami z Amazonem, który powiedział, że bada włamanie i podejmie „odpowiednie kroki”.
2020
Nowa edycja konkursu Pwn2Own odbyła się w dniach 21-23 stycznia 2020 r. w Miami na konferencji S4, tylko z systemami sterowania przemysłowego i celami SCADA . Podczas trzydniowego wydarzenia uczestnicy otrzymali nagrody w wysokości ponad 250 000 USD, ponieważ hakerzy zademonstrowali wiele exploitów na wielu wiodących platformach ICS. Steven Seeley i Chris Anastasio, duet hakerów nazywający siebie Team Incite, zdobyli tytuł Master of Pwn z wygraną w wysokości 80 000 $ i 92,5 punktów Master of Pwn. Ogólnie rzecz biorąc, konkurs miał 14 zwycięskich demonstracji, dziewięć częściowych zwycięstw z powodu kolizji błędów i dwa nieudane zgłoszenia.
Wiosenna edycja Pwn2Own 2020 odbyła się w dniach 18-19 marca 2020 r. Tesla ponownie powrócił jako sponsor i miał Model 3 jako dostępny cel. W związku z pandemią COVID-19 konferencja przeniosła się do wirtualnego wydarzenia. Inicjatywa Zero Day postanowiła umożliwić udział zdalny. Umożliwiło to naukowcom wysłanie swoich exploitów do programu przed wydarzeniem. Badacze ZDI przeprowadzili następnie exploity ze swoich domów i nagrali ekran oraz rozmowę Zoom z zawodnikiem. W ramach konkursu przeprowadzono sześć udanych demonstracji i przyznano 270 000 USD w ciągu dwudniowego wydarzenia, kupując 13 unikalnych błędów w Adobe Reader, Apple Safari i macOS, Microsoft Windows i Oracle VirtualBox. Duet Amat Cama i Richard Zhu (Team Fluoroacetate) zdobył tytuł Master of Pwn z zarobkami w wysokości 90 000 $.
Jesienna edycja Pwn2Own, zwykle nazywana Pwn2Own Tokyo, odbyła się w dniach 5–7 listopada 2020 r. W związku z trwającą blokadą spowodowaną COVID-19, konkurs ponownie odbył się wirtualnie i nosił nazwę Pwn2Own Tokyo (Live From Toronto). Wydarzenie prowadzili badacze ZDI z Toronto, a inni łączyli się z domu. Celem tego konkursu były również serwery sieci pamięci masowej (SAN). Wydarzenie miało osiem zwycięskich zgłoszeń, dziewięć częściowych zwycięstw z powodu kolizji błędów i dwie nieudane próby. W sumie w konkursie przyznano 136 500 USD za 23 unikalne błędy. Zespół Flashback (Pedro Ribeiro i Radek Domański) zdobył tytuł Master of Pwn dzięki dwóm udanym exploitom na routery sieci rozległej (WAN).
2021
W dniach 6-8 kwietnia 2021 r. w Austin i wirtualnie odbyły się zawody Pwn2Own. Tegoroczne wydarzenie zostało rozszerzone o kategorię Enterprise Communications, która obejmuje Microsoft Teams i Zoom Messenger. Pierwszego dnia konkursu doszło do ataku na Apple Safari, Microsoft Exchange, Microsoft Teams, Windows 10 i Ubuntu. Zoom Messenger został zaatakowany drugiego dnia konkursu za pomocą exploita zero-click. Podczas konkursu z powodzeniem wykorzystano również Parallels Desktop, Google Chrome i Microsoft Edge. Ponad 1 200 000 USD przyznano za 23 wyjątkowe dni 0. Master of Pwn był trójstronnym remisem pomiędzy Team DEVCORE, OV i drużyną Daan Keuper & Thijs Alkemade. W tegorocznym konkursie wzięła udział także pierwsza w historii kobieta, Alicja Esage . [ potrzebne źródło ]
2022
Druga edycja Pwn2Own Miami odbyła się w dniach 19-21 kwietnia 2022 roku w Filmore w South Beach Miami. W ciągu trzech dni konkursu przyznano 400 000 $ za 26 unikalnych dni zerowych. Zespół Daan Keuper i Thijs Alkemade z Computest Sector 7 otrzymał tytuł Master of Pwn z zarobkami w wysokości 90 000 $. Punktem kulminacyjnym konkursu była demonstracja Daana i Thijsa, jak obejść kontrolę zaufanych aplikacji w standardzie OPC Foundation OPC UA .NET.
Pwn2Own powrócił do Vancouver w dniach 18–20 maja 2022 r., Aby uczcić 15. rocznicę konkursu. W ciągu trzydniowego wydarzenia ZDI przyznało 1 155 000 USD za 25 unikalnych luk typu 0-day. Pierwszy dzień konkursu ustanowił jednodniowy rekord konkursu w wysokości 800 000 USD przyznanych za różne exploity, w tym trzy oddzielne demonstracje Microsoft Teams. Jeden z tych exploitów nie wymagał interakcji ze strony użytkownika i mógł zostać wykorzystany do złamania zabezpieczeń całej organizacji. Zademonstrowano również udane demonstracje w przeglądarkach internetowych Mozilla Firefox i Apple Safari. Drugi dzień zawodów upłynął pod znakiem zdalnego wykorzystania systemu Tesla Infotainment. Naukowcom z zespołu Synacktiv udało się zdalnie uruchomić wycieraczki przedniej szyby, otworzyć bagażnik i błysnąć reflektorami pojazdu. W ostatnim dniu wydarzenia pomyślnie zademonstrowano trzy z sześciu eskalacji uprawnień systemu Windows 11. Wszystkie sześć z tych exploitów wykorzystywało unikalne błędy. Flagowy telefon Samsunga, Galaxy S22 z najnowszym systemem Android 13, został zhakowany w mniej niż minutę. Po zsumowaniu wszystkich punktów zespół STAR Labs otrzymał tytuł Master of Pwn z kwotą 270 000 $ i 27 punktami.