Dopo due giorni di competizioni, il Mobile Pwn2Own 2014 ha visto cadere quasi tutti i sistemi operativi sotto gli attacchi degli hacker che hanno partecipato al contest annuale organizzato da HP. Windows Phone ha ottenuto il miglior risultato, in quanto il concorrente non è riuscito a superare completamente le difese della piattaforma Microsoft. Il montepremi ammontava a 425.000 dollari, suddiviso in base a cinque categorie.
La competizione prevedeva l’uso di svariate tecniche per sfruttare le vulnerabilità individuate nel sistema operativo mobile, nel browser, nei servizi di messaggistica, nei moduli di comunicazione a corto raggio (WiFi, Bluetooth e NFC) e nel modulo radio. I partecipanti potevano scegliere tra otto bersagli: Amazon Fire Phone, Apple iPhone 5s, Apple iPad Mini con Retina Display, BlackBerry Z30, Google Nexus 5, Google Nexus 7, Nokia Lumia 1520 e Samsung Galaxy S5. Ovviamente non sono stati divulgati pubblicamente i dettagli dei bug, ma sono stati comunicati alle rispettive aziende.
La “carneficina” è avvenuta durante il primo giorno di gara, quando sono caduti iPhone 5S, Galaxy S5, Nexus 5 e Fire Phone. Sullo smartphone Apple sono state scoperte due vulnerabilità in Safari, una delle quali ha permesso di superare le difese della sandbox. Due team hanno invece realizzato un exploit basato su NFC che ha permesso di attaccare il Galaxy S5.
Altri due bug sono stati sfruttati per colpire le funzionalità NFC del Nexus 5. In questo caso, gli hacker hanno trovato un modo per forzare il pairing Bluetooth tra due smartphone, una tecnica vista più volte nella serie TV “Person Of Interest”. L’ultimo a cadere è stato il Fire Phone di Amazon, a causa di un tris di bug scoperti nel browser.
Il giorno successivo, gli hacker hanno spostato la loro attenzione su un altro Nexus 5 e sul Nokia Lumia 1520. In entrambi i casi, gli attacchi hanno avuto un successo parziale. Sul dispositivo LG non è stato possibile elevare i privilegi oltre il livello iniziale. Windows Phone 8.1 ha permesso di estrarre il database dei cookie da Internet Explorer, ma ha la sandbox impedito l’accesso completo al sistema operativo.