iPhone X, Galaxy S9 e Xiaomi Mi6 sono caduti sotto gli attacchi degli hacker alla Pwn2Own Tokyo, durante il primo giorno della competizione. I concorrenti si sono aggiudicati un totale di 215.000 dollari, parte del monte premi messo in palio, e fatto emergere 13 bug in totale. I difetti rilevati nei dispositivi non sono stati svelati nel dettaglio: saranno comunicati alle aziende coinvolte, che avranno 90 giorni per correggerli prima della pubblicazione.
Gli hacker di due diverse squadre si sono affrontati su un totale di sei prove, con i tre smartphone citati. Gli attacchi potevano avvenire tramite Wi-Fi, NFC o rete mobile (baseband). I partecipanti hanno provato ad estrarre informazioni protette (una fotografia), forzare la visita di un sito web, installare applicazioni a loro scelta. Il tutto senza interazioni da parte dell'utente.
Apple iPhone X
Cama e Zhu hanno dimostrato l'attacco verso l'iPhone X di Apple: grazie a due diversi bug sono riusciti a uscire dalla sandbox e scalare i privilegi. Il premio in questo caso è stato di 60.000 dollari. Il secondo giorno invece ha visto questa squadra estrarre dati dallo smartphone Apple, usando due diversi bug; nella fattispecie, hanno recuperato una foto cancellata. Il team MWR ha tentato un attacco simile, senza però riuscire a concluderlo entro il tempo prestabilito; esito simile per l'altro attacco di Fluoroacetate verso iPhone X, tramite baseband.
Xiaomi Mi 6
La squadra Fluoroacetate (Amat Cama e Richard Zhu) ha violato il Mi6 sfruttando la connessione NFC. Tramite la comunicazione a breve distanza hanno forzato il browser a visitare una pagina specifica, che a sua volta conteneva codice in grado di alterare il telefono. "Durante la dimostrazione, non ci siamo nemmeno resi conto che stava succedendo qualcosa finché non era troppo tardi", hanno scritto gli organizzatori del Pwn2Own. Il premio per questa prova è stato di 30.000 dollari. Nel secondo giorno questa squadra ha invece estratto una fotografia dallo smartphone, guadagnando altri 25.000 dollari.
Il team di MWR Labs (Georgi Geshev, Fabi Beterke, e Rob Miller) ha lavorato sul Mi6 di Xiaomi usando il Wi-Fi. Simulando una situazione comune, quella di una persona che si collega a una rete pubblica in un locale, in aeroporto o altrove. Una volta che il telefono si è collegato, gli hacker sono riusciti a forzare l'installazione silenziosa di un'applicazione e avviarla. Per farlo hanno sfruttato cinque diversi bug, guadagnandosi 30.000 dollari, e altri 25mila per aver estratto una fotografia dal Mi6, sempre agendo via Wi-Fi.
Samsung Galaxy S9
Il duo di Fluoroacetate ha lavorato sul Samsung Galaxy S9, sfruttando un difetto nel modem GSM per accedere al telefono. Un difetto ritenuto particolarmente grave, che è valso un premio di 50.000 dollari. Anche i tre di MWR Labs hanno mostrato vulnerabilità sul Galaxy S9, stavolta via Wi-Fi: sono riusciti a forzare la visita di un sito pericoloso senza interazione da parte dell'utente, caricando poi un'applicazione realizzata da loro. Il premio è stato di 30.000 dollari.
La sicurezza perfetta non esiste, ma con uno smartphone Android One se non altro gli aggiornamenti arrivano tutti i mesi. C'è il nuovo MotorolaOne a 270 euro per esempio.