Todos os alvos da competição de segurança Pwn2Own 2015 foram explorados por especialistas durante a conferência CanSecWest, em Vancouver, no Canadá, na semana passada. O evento pagou mais de US$ 557 mil (cerca de R$ 1,7 milhão) como recompensa pela exclusividade das informações técnicas demonstradas pelos participantes nos navegadores Internet Explorer, Firefox, Chrome e Safari, além de outros programas, como Adobe Reader, Flash e Windows. As informações serão encaminhadas aos responsáveis pelos serviços para que as brechas sejam corrigidas.
Os pagamentos foram feitos pela HP e pelo Google, por meio de seu Projeto Zero. Este ano, a empresa patrocinou recompensas para todos os alvos, não somente seus próprios produtos.
A competição exige que os participantes consigam controlar os computadores apenas com a visita a um endereço web. Em alguns casos, brechas no Windows foram exploradas, permitindo que a invasão obtivesse controle total sobre o sistema. Em um ataque real, essa situação levaria um sistema a ser contaminado por um vírus.
Maior prêmio
Não é a primeira vez que todos os principais navegadores do mercado são explorados na Pwn2Own, que é realizada na CanSecWest desde 2007. A competição surgiu para demonstrar brechas em sistemas da Apple, que eram considerados mais seguros. Com o passar dos anos, novos alvos foram incluídos, como os celulares, fora da edição deste ano.
O maior vencedor da edição 2015 foi o pesquisador Jung Hoon Lee, que também é conhecido pelo seu nome online, "lokihardt". Ele recebeu US$ 225 mil (cerca de R$ 740 mil) por demonstrar falhas no Internet Explorer, no Chrome, no Safari e duas no sistema operacional Windows, da Microsoft.
Pelo ataque contra o Chrome, que utilizou também as brechas no Windows, Lee recebeu US$ 110 mil – o maior prêmio já pago pela competição por um único ataque. A demonstração de um possível ataque levou apenas dois minutos. Lee estava sozinho, diferentemente de outros competidores, que estavam em equipes.
No total, quatro equipes e quatro pesquisadores independentes participaram. Eles revelaram 21 brechas: 5 no Windows; 4 no Internet Explorer; 3 no Mozilla Firefox; 3 no Adobe Reader; 3 no plug-in Adobe Flash Player; 2 no Apple Safari e uma no Google Chrome.