[banner]…[/banner]
Trend Micro ha annunciato la sesta edizione di Pwn2Own, annuale competizione che raccoglie i ricercatori di sicurezza per identificare le vulnerabilità nelle piattaforme software più diffuse.
La competizione di quest’anno si svolgerà nell’ambito della PacSec security conference di Tokyo dall’1 al 2 novembre ed è parte della cosiddetta “Zero Day Initiative” (ZDI), programma che incoraggia i ricercatori indipendenti a identificare vulnerabilità sconosciute su sistemi operativi e software di aziende quali Apple, Google e Samsung, e li ricompensa con premi in denaro.
Tra gli obiettivi di quest’anno ci sono: l’iPhone 7, il Galaxy S8 di Samsung, Google Pixel e il Mate 9 Pro di Huawei, tutti con le ultime versioni dei sistemi operativi (iOS e Android) installati.
Trend Micro ha messo in palio 500.000$ suddivisi in premi di varie categorie. Exploit di Safari, ad esempio, valgono fino a 40.000$; dimostrazioni di vulnerabilità partendo da un SMS possono arrivare a 60.000$. Oltre a premi per specifiche categorie, sono previsti bonus aggiuntivi tra i 20.000$ e i 50.000$ per chi riesce a dimostrare la possibilità di avviare codice nella modalità più privilegiata eseguendo operazioni a livello del kernel, dimostrando che gli smartphone continuano a eseguire il cosiddetto “payload” (il “carico” trasportato da strumenti di compromissione del sistema) anche dopo il riavvio.
Rappresentanti di Apple nelle edizioni passate hanno partecipato alla competizione Pwn2Own; le vulnerabilità dimostrate sono state corrette nei giorni successivi. Le aziende hanno 90 giorni di tempo per risolvere i problemi individuati; passato questo tempo, le vulnerabilità vengono rese pubbliche.
