Pwn2Own

Pwn2Own
Pwn2Own
날짜2007년 4월 18-20일(2007-04-18 2007-04-20)
시간매년 2회
기간2~3일
장소칸세크웨스트 보안 회의
위치다양한
유형해킹대회
고객제로 데이 이니셔티브
구성자CanSecWest 적용 보안 컨퍼런스
수상현금 경품
웹사이트CanSecWest 적용 보안 컨퍼런스

Pwn2Own은 칸세크웨스트 보안 콘퍼런스에서 매년 열리는 컴퓨터 해킹 콘테스트다.[1]2007년 4월 밴쿠버에서 처음 개최된 [2]이 대회는 현재 1년에 두 번,[3] 가장 최근에는 2021년 4월에 개최되고 있다.[4]참가자들은 이전에 알려지지 않았던 취약점을 가지고 널리 사용되는 소프트웨어[5] 모바일 기기를 이용해야 하는 도전을 받는다.[6]대회의 우승자들은 그들이 착취한 장치와 상금을 받는다.[7]Pwn2Own 경연대회는 기기 및 소프트웨어의 취약성을 널리 사용하면서 동시에 전년도부터 보안에서 이루어진 진척상황에 대한 체크포인트를 제공하는 역할을 한다.

역사

오리진스

2007년[1] 첫 대회는 드라고스 루우가 애플벅스의 달커널벅스의 달에 대한 대응[8] 부족에 대한 [9]좌절감과 경쟁 윈도우 운영체제에 구축된 보안을 경시하는 애플의 텔레비전 광고에 대한 대응으로 구상되고 개발되었다.[10]당시 OS X는 애플 제품에 대한 이러한 공개적인 취약성 표시에도 불구하고 다른 경쟁사들보다 훨씬 더 안전하다는 믿음이 널리 퍼져 있었다.[8]그해 캔세크웨스트보다 약 3주 앞선 3월 20일, 루이는 데일리데이브 메일링 리스트에서 보안 연구원들에게 Pwn2OWN 공모전을 발표했다.[1]이 대회에는 그가 회의장에 남겨두고 갈 두 명의 맥북 프로가 그들 자신의 무선 접속 지점에 연결된 채 참가하기 위한 것이었다.이 무선 액세스 지점에 연결하여 장치 중 하나를 이용할 수 있는 회의 참석자는 해당 노트북으로 회의를 떠날 수 있을 것이다.금전적인 보상은 없었다.[8]'Pwn2Own'이라는 명칭은 참가자들이 기기를 '소유'하거나 당첨되기 위해서는 'pwn'이나 해킹을 해야 한다는 데서 유래했다.

브리티시 컬럼비아주 밴쿠버에서 열린 콘퍼런스 첫날 루이는 제로 데이 이니셔티브(ZDI)의 테리 포슬로프에게 대회 참가를 요청했다.[5]ZDI는 제로데이 공격을 구매해 피해 벤더에 보고한 뒤 자체 네트워크 침입 탐지 시스템 서명자로 전환해 효과를 높이는 프로그램을 운영하고 있다.ZDI에 판매되는 취약성은 해당 벤더가 패치를 발급한 후에만 공개된다.[11]Forslof는 ZDI가 공모전에 사용된 취약점을 1만 달러의 정가에 구매하도록 하는 데 동의했다.[5]이어 1차 콘테스트에서는 퀵타임의 고공행진을 폭로했는데, 4월 23일 애플에 공개돼 5월 초 패치를 했다.[5]2008년에는 Pwn2OWN 공모전의 범위가 확대되었다.[12]대상에는 윈도 비스타, OS X 또는 우분투 리눅스의 기본 설치를 실행하는 노트북 3대가 포함됐다.[13]2009년에 모바일 기기가 추가되었다.[6]

2012년을 위해 규칙 지점 system,[14]과capture-the-flag 스타일 경쟁에서 크롬은 성공적으로 첫번째 시간 동안, 규칙적인 경쟁자 VUPEN.[15]에 의해 악용된 콘테스트에서 그 해에 새로운 공시 rules,[16]때문에 2013년에 구글을 협찬하고 그 규칙 전체 D요구할 수 있도록 바꿨다 돌아와 철수한 후 변했다의 isclosure공훈과 사용된 [17]기술구글은 2015년에 Pwn2OWN의 스폰서가 되는 것을 중단했다.[18]

근년

2015년, 모든 웹 브라우저가 성공적으로 해킹되었고 모든 상금이 557,500달러에 달했다.노트북과 같은 다른 상들도 수상 연구원들에게 주어졌다.[19]2018년, 중국이 보안 연구원들의 대회 참가를 금지한 이후, 이 회의는 훨씬 더 규모가 작고 주로 마이크로소프트의 후원을 받았다.[20]

Pwn2Own은 Trend Micro의 Zero Day Initiative가 지속적으로 후원하고 있으며, ZDI는 해킹을 공개하기 전에 공급업체에 취약성을 보고하고 있다.[3]테크크런치에 따르면 '세계 최대 해킹 대회 중 하나'는 2019년을 기점으로 1년에 몇 차례씩 계속 열리고 있다.[21][7]펑투타운 도쿄는 11월 6일부터 11월 7일까지 일본 도쿄에서 열렸으며 75만 달러의 현금과 경품을 나눠줄 예정이었다.[21]해킹은 브라우저, 가상 머신, 컴퓨터, 전화기에 초점을 맞춘다.[3]2019년 테슬라 소프트웨어를 악용한 해킹에 90만 달러가 제안되는 등 처음으로 자동차를 추가한 대회다.[3]2019년 이 대회에는 산업관제시스템이 대회에는 산업관제시스템이 추가됐다.[22]

수상제도

대회의 우승자들은 그들이 착취한 장치와 상금을 받는다.[7]우승자들은 또한 우승의 해를 기념하는 "마스터" 재킷을 받는다.

성공적인 공격 목록

이 주목할 만한 해킹의 목록은 불완전하다.

해커 소속 연도 공격 대상 버전 / OS 출처
디노다이조비 독립적이다. 2007 퀵타임 (사파리) 맥 OS X [23][24]
셰인 마카오리 독립적이다. 2007 퀵타임 (사파리) 맥 OS X [24][23]
찰리 밀러 ISE 2008 사파리(PCRE) Mac OS X 10.5.2 [25][26]
제이크 호노프 ISE 2008 사파리(PCRE) Mac OS X 10.5.2 [25]
마크 대니얼 ISE 2008 사파리(PCRE) Mac OS X 10.5.2 [25]
셰인 마카오리 독립적이다. 2008 Adobe Flash(Internet Explorer) Windows Vista 서비스 팩 1 [27]
알렉산드르 소티로프 독립적이다. 2008 Adobe Flash(Internet Explorer) Windows Vista 서비스 팩 1 [27]
데릭 캘러웨이 독립적이다. 2008 Adobe Flash(Internet Explorer) Windows Vista 서비스 팩 1 [27]
찰리 밀러 ISE 2009 사파리 맥 OS X [28][26]
닐스 독립적이다. 2009 인터넷 익스플로러 8 윈도 7 베타 [29]
닐스 독립적이다. 2009 사파리 맥 OS X [30]
닐스 독립적이다. 2009 모질라 파이어폭스 [31]
찰리 밀러 ISE 2010 사파리 맥 OS X [32]
피터 브뤼그덴힐 독립적이다. 2010 인터넷 익스플로러 8 윈도 7 [32]
닐스 독립적이다. 2010 모질라 파이어폭스 3.6 Windows 7(64비트) [32]
랄프필리핀만 독립적이다. 2010 아이폰 3GS iOS [32]
빈첸초오쵸우 독립적이다. 2010 아이폰 3GS iOS [32]
부펜 부펜 2011 사파리 5.0.3 Mac OS X 10.6.6 [33]
스티븐 레슨 하모니 시큐리티 2011 Internet Explorer 8(32비트) Windows 7 서비스 팩 1(64비트) [33]
찰리 밀러 ISE 2011 아이폰4 iOS 4.2.1 [34]
디온 블레이자키스 ISE 2011 아이폰4 iOS 4.2.1 [34]
빌렘 핀카어스 독립적이다. 2011 BlackBerry Torch 9800 BlackBerry OS 6.0.0.246 [34]
빈첸초오쵸우 독립적이다. 2011 블랙베리 토치 9800 BlackBerry OS 6.0.0.246 [34]
랄프필리핀만 독립적이다. 2011 블랙베리 토치 9800 BlackBerry OS 6.0.0.246 [34]
부펜 부펜 2012 크롬 Windows 7 서비스 팩 1(64비트) [15]
부펜 부펜 2012 인터넷 익스플로러 9 윈도 7 [35]
빌렘 핀카어스 독립적이다. 2012 모질라 파이어폭스 [36]
빈첸초오쵸우 독립적이다. 2012 모질라 파이어폭스 [36]
부펜 부펜 2013 인터넷 익스플로러 10 윈도 8 [37]
부펜 부펜 2013 어도비 플래시 윈도 8 [38]
부펜 부펜 2013 오라클 자바 윈도 8 [38]
닐스 MWR 연구소 2013 크롬 윈도 8
MWR 연구소 2013 크롬 윈도 8
조지 호츠 독립적이다. 2013 어도비 리더 윈도 8
조슈아 드레이크 독립적이다. 2013 오라클 자바 윈도 8
제임스 포쇼 독립적이다. 2013 오라클 자바 윈도 8
벤 머피 독립적이다. 2013 오라클 자바 윈도 8
핑키 파이 독립적이다. 2013년(모바일) 크롬 안드로이드 [39]
니코 줄리 부펜 2014년(모바일) Windows 전화(Internet Explorer 11) 윈도 8.1
부펜 부펜 2014 인터넷 익스플로러 11 윈도 8.1
부펜 부펜 2014 어도비 리더 XI 윈도 8.1
부펜 부펜 2014 크롬 윈도 8.1
부펜 부펜 2014 어도비 플래시 윈도 8.1
부펜 부펜 2014 모질라 파이어폭스 윈도 8.1
량첸, 제광 자오 예리한 팀, 509팀 2014 어도비 플래시 윈도 8.1
세바스티안 아펠트, 안드레아스 슈미트 독립적이다. 2014 인터넷 익스플로러 11 윈도 8.1
위리 아에들라 독립적이다. 2014 모질라 파이어폭스 윈도 8.1
마리우스 므위스키 독립적이다. 2014 모질라 파이어폭스 윈도 8.1
조지 호츠 독립적이다. 2014 모질라 파이어폭스 윈도 8.1
량첸, 제광 자오 예리한 팀, 509팀 2014 OS X 매버릭 및 Safari
이정훈, 일명 로키하르트 독립적이다. 2015 Internet Explorer 11, Google Chrome 및 Safari [19]
니코 골드, 다니엘 코마로미 독립적이다. 2015년(모바일) 삼성 갤럭시 S6 베이스밴드 안드로이드
광공 제후 360 2015년(모바일) 넥서스 6 크롬 안드로이드
2016
2017 아이폰7 등 iOS 11.1
2018
플루오르아세트산염 독립적이다. 2019(모바일) 아마존 에코 쇼 5 [40]
페드로 리베이로, 라데크 도만스키 플래시백 2019(모바일) NETGear Nighthawk 스마트 WiFi 라우터(LAN 및 WAN) v3(초기화) [41]
페드로 리베이로, 라데크 도만스키 플래시백 2019(모바일) TP-Link AC1750 스마트 WiFi 라우터(LAN 및 WAN) v5(초기화) [42]
마크 반스, 토비 드류, 맥스 반 아메롱겐, 제임스 루레이로 F-Secure 연구소 2019(모바일) 샤오미 Mi9(웹 브라우저 및 NFC) 안드로이드 [41]
마크 반스, 토비 드류, 맥스 반 아메롱겐, 제임스 루레이로 F-Secure 연구소 2019(모바일) TP-Link AC1750 스마트 WiFi 라우터(LAN 및 WAN) v5(초기화) [42]

연도별 경연 대회

2007

이 대회는 2007년 4월 18일 목요일부터 4월 20일 토요일까지 밴쿠버에서 열렸다.[2]첫 번째 콘테스트는 당시 OS X가 경쟁사보다 훨씬 안전하다는 인식이 확산되면서 애플의 맥 OS X 운영체제의 불안감을 부각시키기 위한 것이었다.[8]규칙과 관련해서는 캔서웨스트 회의장에 13인치와 15인치 두 대의 맥북 프로 노트북만 남겨두고 별도의 무선 네트워크에 가입했다.특정 공격만 허용되었고 이러한 제한은 회의 3일 동안 점진적으로 완화되었다.[8]1일차에는 원격 공격만 허용했고 2일차에는 브라우저 공격이 포함됐으며 3일차에는 참가자들이 USB 스틱이나 블루투스로 연결할 수 있는 로컬 공격이 허용됐다.15" 맥북 프로에서 우승하기 위해서, 참가자들은 그들의 초기 착취에 접근한 후에 그들의 특권을 뿌리뽑기 위해 더욱 확대해야 할 것이다.

노트북은 첫날 해킹을 당하지 않았다.ZDI가 1만달러의 상금을 발표한 뒤 셰인 맥컬레이는 동료인 디노 다이 조비를 뉴욕에서 불러 이틀째 경쟁을 촉구했다.[2]하룻밤 사이에 다이 조비는 사파리가 로드한 QuickTime 라이브러리에서 이전에 알 수 없었던 취약성을 발견하고 이용했다.[23]다음 날 아침 다이 조비는 자신의 공격 코드를 매컬레이에게 보냈고,[43] 매컬레이는 이를 웹사이트에 올리고 대회 조직위원들에게 링크를 이메일로 보냈다.클릭했을 때, 이 링크는 마카울리가 노트북을 제어할 수 있게 해 주었고, 매컬레이에게 15" 맥북 프로를 준 다이 조비에게 대리 수상으로 우승했다.[44]다이조비는 ZDI의 취약성을 1만 달러 상금으로 별도 판매했다.[24]

2008

2008년 3월 26일 목요일부터 2008년 3월 28일 토요일까지 Pwn2Oown이 열렸다.[13]2007년 성공적인 대회 이후, 대회의 범위는 더 많은 운영 체제와 브라우저를 포함하도록 확대되었다.이 대회는 소비자에 의해 널리 사용되는 모든 소프트웨어에 대한 광범위한 불안감을 보여줄 것이다.[12]드라고스는 폭넓은 업계 전문가 패널의 도움을 받아 콘테스트를 다듬었고, 이 콘테스트는 ZDI에 의해 운영되었는데, ZDI는 그들의 시범이 끝난 후 다시 취약점 구매를 제안할 것이다.[13]ZDI가 구매하는 모든 취약성과 마찬가지로, Pwn2Oown에서 사용되는 취약성의 세부내용은 해당 벤더에 제공되고, 공개적인 세부내용은 패치가 제공될 때까지 보류될 것이다.[11]이 대회에서 공적을 성공적으로 입증한 모든 참가자들은 첫날 2만 달러, 둘째 날 1만 달러, 셋째 날 5천 달러의 상금으로 자신의 취약점을 ZDI에 팔 수 있었다.[12]전년도 대회처럼 매일 특정 공격만 허용됐다.대상은 Windows Vista Ultimate SP1, Mac OS X 10.5.2 또는 Ubuntu Linux 7.10의 기본 설치를 실행하는 노트북 3대를 포함했다.[13]1일차에는 원격 공격만 볼 수 있었다. 참가자들은 대상 노트북과 동일한 네트워크에 가입해야 했고 사용자 상호 작용과 인증 없이 공격을 수행해야 했다.2일차에는 브라우저와 인스턴트 메시징 공격, 그리고 클릭할 수 있는 링크를 가진 악성 웹사이트 공격이 포함되었다.[12]3일차에는 타사 클라이언트 애플리케이션이 포함되었다.참가자들은 브라우저, Adobe Flash, Java, Apple Mail, iChat, Skype, AOL, Microsoft Silverlight와 같은 인기 있는 타사 소프트웨어를[12] 대상으로 할 수 있다.[13]

결과와 관련하여, OS X를 실행하는 노트북은 대회 둘째 날 찰리 밀러,[26] 제이크 호너오프, 독립 보안 평가자의 마크 다니엘이 공동 작성한 사파리 브라우저의 악용으로 이용되었다.그들의 공격은 Safari 브라우저의 오픈 소스 하위 구성요소를 목표로 했다.[25][45]Windows Vista SP1을 실행하는 노트북은 대회 사흘째에 쉐인 맥컬레이, 알렉산더 소티로프, 데릭 캘러웨이가 공동 집필한 어도비 플래시를 위한 착취로 이용되었다.[27][46]콘테스트가 끝난 뒤 어도비는 내부적으로 같은 취약점을 공동 발견했으며, Pwn2Oown 당시 패치를 작업해 왔다고 공개했다.[47]우분투를 운영하는 노트북은 이용당하지 않았다.

2009

Pwn2Own 2009는 3월 18일 목요일부터 3월 20일 토요일까지 3일간 CanSecWest에서 열렸다.2007년 다른 어떤 소프트웨어 카테고리보다 웹 브라우저를 타깃으로 하는 데 상당히 많은 성공을 거둔 후, 세 번째 Pwn2Oown은 소비자 데스크톱 운영 체제에서 사용되는 인기 있는 브라우저에 초점을 맞췄다.그것은 참가자들이 이메일, SMS 메시지, 웹사이트 브라우징을 포함한 많은 원격 공격 벡터를 통해 해킹해야 하는 또 다른 종류의 모바일 장치를 추가했다.[6][48]이 대회에서 성공적인 공격을 보여준 모든 참가자들은 ZDI의 기본적인 취약성에 대한 보상, 브라우저 취약성에 대한 5,000달러, 모바일 취약성에 대한 10,000달러의 보상을 받았다.[49]

웹 브라우저 규칙과 관련하여 브라우저 대상은 Windows 7 베타 및 Mac OS X를 실행하는 MacBook에 설치된 Sany Vaio에 설치된 Internet Explorer 8, Firefox 및 Chrome이었다. 모든 브라우저는 경연 첫날 완전히 패치가 적용되고 기본 구성이 되었다.예년과 마찬가지로 공격 표면 경연대회는 3일 동안 확대되었다.[49]첫날, 참가자들은 플러그인에 대한 액세스 없이 기본 브라우저의 기능을 목표로 삼아야 했다.둘째 날에는 Adobe Flash, Java, Microsoft .NET Framework와 QuickTime이 포함되었다.3일차에는 Adobe Reader와 같은 다른 인기 있는 타사 플러그인이 포함되었다.대상당 여러 명의 당첨자가 허용되었지만, 각 노트북을 이용한 첫 번째 참가자만 당첨될 수 있었다.모바일 기기 대상은 기본 구성에 BlackBerry, Android, Apple iPhone 2.0(T-Mobile G1), Symbian(노키아 N95) 및 Windows Mobile(HTC Touch) 폰 등이다.

브라우저 경연대회와 마찬가지로 참가자들이 이용할 수 있는 공격 표면이 3일 동안 확장되었다.기기를 성공적으로 절충할 수 있다는 것을 증명하기 위해, 참가자들은 모바일 장치에서 민감한 데이터를 수집하거나 모바일 기기 소유자로부터 어떤 형태의 재정적 손실을 입힐 수 있다는 것을 입증해야 했다.[49]1일차에는 SMS, MMS, 이메일을 수신할 수 있었지만 메시지를 읽을 수 없었다.와이파이(기본적으로 켜지는 경우), 블루투스(기본적으로 켜지는 경우), 라디오 스택도 인스코프였다.둘째 날에는 SMS, MMS, 이메일을 열어 읽을 수 있었다.와이파이가 켜져 있고 블루투스를 켜고 근처의 헤드셋과 페어링할 수 있다(추가 페어링이 허용되지 않음).3일차에서는 기본 응용프로그램과 사용자 상호작용의 한 단계를 허용했다.기기당 복수 당첨자가 허용되었지만, 각 모바일 기기를 착취한 첫 번째 참가자만 (전화 1년 계약과 함께) 받을 수 있었다.

결과에 대해, ZDI는 2009년 경쟁에 대한 관심이 높아짐에 따라, 각 목표물에 대해 어느 팀이 먼저 경기를 치르는지 결정하기 위해 무작위 선발을 주선했다.[49]첫 번째로 선발된 참가자는 찰리 밀러였다.그는 어떤 브라우저 플러그인의 도움 없이 OS X의 Safari를 이용했다.[28][26]대회에서 우승한 후 인터뷰에서 밀러는 사파리를 상대로 자신의 공적을 실행하는데 단 몇 분밖에 걸리지 않았지만 그가 사용한 공적을 연구하고 개발하는 데 많은 시간이 걸렸다고 강조했다.[50]밀러의 뒤를 쫓기 위해 닐스로만 확인된 연구원이 선택되었다.Nils는 Windows 7 베타에서 Internet Explorer 8에 대한 공격을 성공적으로 실행했다.Nils는 이 취약성을 이용하면서 Microsoft가 Internet Explorer 8과 Windows 7에서 구현한 데이터 실행 보호(DEP) 및 주소 공간 레이아웃 임의화(ASLR)를 포함한 폭발 방지 완화 조치를 우회해야 했다.[29][51]닐스는 다른 브라우저를 계속 시도했다.밀러가 OS X의 사파리를 이미 착취했음에도 닐스는 이 플랫폼을 다시 착취한 [30]뒤 파이어폭스를 성공적으로 착취하기 위해 이동했다.[31]첫날이 거의 끝나갈 무렵 줄리엔 틴네스와 사미 코이부(원격)는 OS X의 파이어폭스와 사파리를 자바 취약성으로 성공적으로 착취했다.당시 OS X에는 기본적으로 Java가 활성화되어 있어 해당 플랫폼에 대한 신뢰할 수 있는 공격이 가능했다.그러나, 이미 벤더에 취약성을 보고한 적이 있기 때문에, Tinnes의 참여는 콘테스트의 룰 밖에 떨어져 보상을 받을 수 없었다.[52]그 다음 날 대회에는 어떤 추가 대회 참가자도 끌어들이지 않았다.크롬은 물론 모든 모바일 기기가 2009년 Pwn2Oown에서 개발되지 않았다.[53]

2010

이 대회는 2010년 3월 24일에 시작되어 총 10만 달러의 현금 상금을 받았다.[54]대회가 시작되기 9일 전인 3월 15일, 애플은 웹키트와 사파리용 16개의 패치를 출시했다.[55]악용할 소프트웨어에 관해서는, 10만 달러 중 4만 달러는, 각 대상이 1만 달러의 가치가 있는 웹 브라우저를 위해 남겨졌다.[54]1일차에는 Windows 7(윈도우 7)의 Microsoft Internet Explorer 8, Windows 7(윈도우 7)의 Mozilla Firefox 3.6, Windows 7(윈도우 7)의 Google Chrome 4, Mac OS X Snow Leopard의 Apple Safari 4가 포함되었다.2일차에는 Windows Vista의 Microsoft Internet Explorer 8, Windows Vista의 Mozilla Firefox 3, Windows Vista의 Google Chrome 4, Mac OS X Snow Leopard의 Apple Safari 4가 포함되었다.3일차에는 Windows XP에서 Microsoft Internet Explorer 8, Windows XP에서 Mozilla Firefox 3, Windows XP에서 Google Chrome 4, Mac OS X Snow Leopard에서 Apple Safari 4가 포함되었다.총 상금 10만 달러 중 6만 달러가 이 대회의 휴대폰 부분에 할당되었고, 각 대상은 1만 5천 달러의 가치가 있었다.[54]여기에는 애플 아이폰 3GS, RIM BlackBerry Bold 9700, 심비안실행하는 노키아 E72 기기, 안드로이드를 실행하는 HTC 넥서스 원 등이 포함됐다.

오페라 웹브라우저는 공모전에서 타겟으로 제외되었다.ZDI 팀은 오페라의 시장 점유율이 낮았고 크롬과 사파리는 "다양한 모바일 플랫폼에서 디폴트 존재로 인해" 포함되어 있을 뿐이라고 주장했다.그러나 오페라 렌더링 엔진인 Presto는 수백만 개의 모바일 플랫폼에 존재한다.[56][57][58][59]

Windows764-bit[32]에 후에 모질라 파이어 폭스 3.6.3의 보안 결함을 기웠다 기억 부패 취약함과 우회 ASLR과 DEP를 사용하여 파이어 폭스 3.6게 해킹했을 때 찰리 밀러는 성공적으로 맥 OSX.[32]닐스에 사파리 4를 해킹했어요 훌륭한 성공. 가운데 있었다.[60]Ralf-Philipp Weinmann와 빈첸초 Iozzo은 페니를 피해에 의해 아이 폰 3GS를 해킹했다메모리에 있는 코드가 Apple에서 온 것인지 확인하기 위해 iPhone에 사용되는 이질 코드 서명.[32]Peter Vreugdenhil은 ASLR을 우회하고 DEP를 회피하는 두 가지 취약성을 이용하여 Windows 7의 Internet Explorer 8을 이용했다.[32]

2011

2011년 대회는 3월 9일부터 11일까지 밴쿠버에서 열린 칸세크웨스트 컨퍼런스 동안 열렸다.[61]2011년 콘테스트의 웹 브라우저 대상에는 마이크로소프트 Internet Explorer, 애플 사파리, 모질라 파이어폭스, 구글 크롬 등이 포함되었다.Pwn2Own 경연대회는 특히 휴대폰 베이스밴드를 통해 휴대폰을 침투할 수 있는 새로운 공격 표면이 허용되었다는 사실이었다.휴대전화 대상은 Windows Phone 7, iOS를 실행하는 아이폰4, BlackBerry OS 6.0을 실행하는 BlackBerry Torch 9800, Android 2.3을 실행하는 Nexus S였다.여러 팀이 데스크톱 브라우저 대회에 등록했다.Apple Safari의 경우, 등록된 경쟁사에는 VUPEN, Anon_07, Anon 팀, Charlie Miller가 포함되었다.모질라 파이어폭스는 샘 토마스와 어나니머스_1을 포함했다.Microsoft Internet Explorer 팀에는 Stephen Lesse, VUPEN, Sam Thomas, Ahmed M Sleet 등이 포함되었다.구글 크롬 팀에는 모아츠 카이더, 아논 팀, 아흐메드 M 슬레트가 포함됐다.모바일 브라우저 카테고리의 경우 다음 팀이 등록했다.애플 아이폰 해킹 시도로는 아논_07, 디온 블레이자키스와 찰리 밀러, 아논 팀, 어나니머스_1, 아흐메드 M 슬레트가 포함됐다.RIM Blackberry를 해킹하기 위해 팀은 Anonymous_1, Anon 팀, Ahmed M Sleet 팀이었다.삼성 넥서스 S를 해킹하기 위해 팀에는 존 오버하이드, 어나니머스_1, 애논_07, 팀 어나니머스 등이 포함됐다.델 Voice Pro를 해킹하기 위해, 팀은 조지 핫츠, 팀 어나니머스_1, 아메드 M 슬레트를 포함했다.

대회 첫날 사파리와 인터넷 익스플로러는 연구원들에 의해 패배했다.Safari는 완전히 패치가 된 Mac OS X 10.6.6에 설치된 버전 5.0.3이었다.프랑스 보안업체 부펜이 가장 먼저 브라우저를 공격했다.Internet Explorer는 64비트 Windows 7 서비스 팩 1에 설치된 32비트 버전 8이었습니다.보안 연구원인 Stephen Leth of Harmony Security는 IE를 이용하는데 성공했다.이것은 사파리처럼 시연되었다.[33]2일차에는 아이폰4블랙베리 토치 9800이 모두 악용됐다.아이폰은 iOS 4.2.1을 실행하고 있었지만, 이 결함은 iOS 버전 4.3에 존재한다.[34]보안 연구원인 찰리 밀러와 디온 블레이자키스는 모바일 사파리 취약점을 통해 아이폰 주소록에 접근할 수 있었다.[34]블랙베리 토치 9800 전화기는 BlackBerry OS 6.0.0.246을 실행하고 있었다.빈첸초 이오초, 윌렘 핀카어스, 랄프 필립 와인만 팀은 이전에 준비한 웹페이지를 방문함으로써 블랙베리의 웹키트 기반 웹브라우저의 취약성을 이용했다.[34]파이어폭스, 안드로이드, 윈도폰7 등은 2일 동안 시험할 예정이었으나 이들 플랫폼에 선정된 보안 연구진은 아무런 공격도 시도하지 않았다.샘 토머스는 파이어폭스를 실험하기 위해 선발되었지만, 그의 착취가 안정적이지 않다고 말하면서 철수했다.안드로이드와 윈도폰7을 시험하기 위해 선택된 연구자들은 나타나지 않았다.[34]3일차에는 어떤 팀도 나타나지 않았다.크롬과 파이어폭스는 해킹당하지 않았다.

2012

2012년에 이 규칙은 포인트 시스템이 있는 포획-더-플래그 스타일 대회로 변경되었다.[14]이 새로운 형식은 밀러가 더 큰 팀을 선호한다고 주장했던 "현장에서" 공적을 쓰도록 요구했기 때문에, 지난 몇 년 동안 이 행사에서 성공을 거둔 찰리 밀러가 불참을 결정하게 했다.[16]해커들은 4대 브라우저에 반대했다.[16]

2012년 Pwn2Own에서 크롬은 처음으로 성공적으로 이용되었다.부펜은 정보를 팔겠다며 샌드박스를 탈출한 경위를 밝히지 않았다.[15]윈도우 7의 인터넷 익스플로러 9는 다음에 성공적으로 이용되었다.[35]파이어폭스는 제로 데이 악용으로 해킹당한 세 번째 브라우저였다.[36]

Mac OS X Lion의 Safari는 pwn2own의 제로 데이 부분의 결론에 서 있는 유일한 브라우저였다.Mac OS X Snow Leopard에서 완전히 패치되지 않고 실행되지 않은 Safari 버전은 pwn2own의 CVE 부분에서 손상되었다.Mac OS X 내의 보안 완화에서 상당한 개선이 Lion에 도입되었다.[62][63][citation needed]

구글과 논쟁

구글은 2012년 룰이 당첨자의 공적을 전면 공개하도록 요구하지 않았고, 특히 샌드박스가 깔린 환경을 탈피하기 위해 공적을 이용하고, '승리'[16]하지 않은 공적을 증명했기 때문에 이 행사의 후원을 철회했다.Pwn2Own은 자신들의 방법이 공개되어야 한다면 어떤 해커도 크롬을 이용하려 하지 않을 것으로 생각한다고 말하며 이 결정을 옹호했다.[16]구글은 크롬 특유의 착취에 최대 6만 달러를 제공하는 별도의 '푸니움' 콘테스트를 제공했다.사용된 크롬 이외의 취약성은 해당 공급업체에 즉시 보고될 것을 보장했다.[16]세르게이 글라주노프와 '핑키파이'로 밝혀진 10대들은 각각 보안 샌드박스를 우회한 공적으로 6만 달러를 벌어들였다.[64][65]구글은 프니움 공격이 입증된 지 24시간도 안 돼 크롬 사용자들에게 수정안을 발행했다.[66]

2013

2013년 구글은 스폰서로 복귀했고, 이용된 위업과 기법을 전면 공개하도록 규정이 변경됐다.[17]모바일 Pwn2Own 2013 콘테스트는 도쿄에서 열린 PacSec 2013 컨퍼런스 기간 중 2013년 11월 13~14일에 개최되었다.[67]윈도8, 자바와 함께 웹 브라우저 구글 크롬, 인터넷 익스플로러, 파이어폭스가 악용됐다.[68]Adobe도 Reader와 Flash를 추가하며 이 대회에 참가했다.[37]마운틴 라이온의 애플 사파리는 팀이 나타나지 않아 표적이 되지 않았다.

프랑스 보안업체 부펜이 64비트 버전의 Windows 8(윈도우 8)을 실행 중인 마이크로소프트 서페이스 프로(MS Surface Pro)에서 완전히 업데이트된 Internet Explorer 10(인터넷 익스플로러 10)을 브라우저의 충돌이나 동결 없이 완전히 우회하는 데 성공했다.[37]그 후, VUPEN 팀은 Mozilla Firefox, Adobe Flash, Oracle Java를 이용했다.[38] Pinkie Pie는 5만 달러를 획득했고, 구글은 11월 14일에 크롬 업데이트를 발표하여 이 취약점을 해결했다.[39]MWRLABS의 닐스와 존은 웹킷과 윈도 커널 결함을 이용해 크롬 샌드박스를 우회해 구글 크롬을 활용하는 데 성공해 10만 달러를 따냈다.조지 호츠는 어도비 아크로벳 리더를 착취해 샌드박스를 탈출해 7만 달러를 따냈다.제임스 포쇼, 조슈아 드레이크, 벤 머피는 오라클 자바를 독자적으로 착취해 각각 2만 달러를 땄다.

모바일 경연대회는 참가자들이 상금 30만 달러 중 117,500 달러를 획득했다.[67]

2014

at Pwn2Own 2014년 3월[69][70] 밴쿠버에서 열린 캔서웨스트 컨퍼런스에서 휴렛팩커드의 후원을 받았다.[71]4개의 표적 브라우저는 모두 연구원들에게 떨어졌고,[72] 참가자들은 총 105만 5천 달러의 가용 풀 중 85만 달러를 획득했다.[73]VUPEN은 64비트 버전의 Windows 8.1에서 완전히 업데이트된 Internet Explorer 11, Adobe Reader XI, Google Chrome, Adobe Flash 및 Mozilla Firefox를 성공적으로 활용하여 지금까지 단일 경쟁업체에 대한 최고 성과급인 총 40만 달러를 획득했다.그 회사는 총 11개의 뚜렷한 제로 데이 취약점을 이용했다.[74]

2014년 다른 성공적인 업적들 중, 인터넷 익스플로러 11은 세바스티안 아펠트와 안드레아스 슈미트에게 10만 달러의 상금을 받고 이용당했다.[71]맥 OS X 매버릭스의 애플 사파리, 윈도 8.1의 어도비 플래시는 킨 팀의 량첸과 509팀의 제광 자오에 의해 성공적으로 이용되었다.[75]모질라 파이어폭스는 첫날 세 차례, 둘째 날 한 차례 더 악용됐으며 HP는 그해 공개된 파이어폭스 결함 1건당 5만달러씩 연구진에 포상했다.[76]부펜과 익명의 참여자 모두 구글 크롬을 이용했다.부펜은 이 균열로 10만 달러를 벌어들인 반면 익명의 참가자는 6만 달러를 줄였는데, 이는 구글의 푸니움 대회에서 전날 드러난 취약성에 의존했기 때문이다.[72]또한, VUPEN 팀의 니코 졸리는 윈도폰(Lumia 1520)을 맡았으나, 시스템의 완전한 제어권을 얻을 수 없었다.[77]킨랩은 2014년 윈도 8.1 어도비 플래시를 16초 만에, OSX 매버릭스 사파리 시스템을 20초 만에 해킹했다.[78]

2015–2017

2015년 3월 밴쿠버에서 모든 상금이 청구됐고, 모든 브라우저가 총 55만7,500달러의 상금을 받고 해킹당했다.1위 해커는 '구글 크롬의 스테이블 버전과 베타 버전인 'IE 11'과 애플 사파리'를 꺼내 22만5000달러의 상금을 챙긴 이정훈임이 입증됐다.다른 해킹에는 팀509와 킨티엠이 어도비 플래시에 침입하고, 어도비 리더의 다른 휴식도 포함되어 있다.전체적으로 윈도 운영체제에는 5개의 버그가 있었고, 인터넷 익스플로러 11에는 4개, 파이어폭스, 어도비 리더, 어도비 플래시에는 3개, 사파리에는 2개, 크롬에는 1개의 버그가 있었다.[79]구글은 2015년에 Pwn2OWN의 스폰서가 되는 것을 중단했다.[18]

2016년 3월 콘테스트에서는 "각각 입상작은 기본 OS의 취약성을 활용해 샌드박스 완화 효과를 피할 수 있었다."[80] 2016년에는 크롬, 마이크로소프트 엣지, 사파리 등이 모두 해킹당했다.[81]HPE의 취약성 연구 책임자인 브라이언 고렌크에 따르면, 그들은 "작년에 심각한 보안 개선을 이룬 브라우저에 초점을 맞추고자 했기 때문에, 그 해에는 파이어폭스를 포함하지 않기로 결정했다"고 한다.[82]2016년 제후360호는 60초도 안 돼 픽셀을 해킹하는 데 성공했다.[83]

2017년 3월 밴쿠버에서 처음으로 해커들이 VMWare의 가상 머신 샌드박스에 침입했다.[84]2017년 크롬은 해킹에 성공하지 못했다(한 팀만 크롬을 공략하려 했지만 후속 브라우저는 파이어폭스, 사파리, 엣지 순이었다.[85]2017년 11월 1일과 2일 모바일 Pwn2OWN이 열렸다.[86]이 대회에는 애플, 구글, 화웨이 대표들이 참석했다.[87]애플의 iOS 11.1 소프트웨어를 사용한 스마트폰 등 다양한 스마트폰도 해킹에 성공했다.'11번의 공격 성공'은 아이폰7, 화웨이 메이트9 프로, 삼성 갤럭시S8에 대한 공격이었다.구글 픽셀은 해킹당하지 않았다.[86]전체적으로, 그 해 ZDI는 제로 데이 버그 51마리를 발견하는데 83만 3천 달러를 주었다.[88]2017년 팀 제후 360이 최우수상을 수상했다.[83]

2018

2018년, 그 회의는 훨씬 더 작았고 주로 마이크로소프트에 의해 후원되었다.중국은 과거 중국 국적의 우승에도 불구하고 보안 연구원의 대회 참가를 금지하고, 외국인에게 보안 취약점을 누설하는 것을 금지했다.[20]특히 텐센트의 킨랩스와 제후 360의 360볼칸 티엠은 물론 다른 중국 국적자도 들어오지 않았다.[88]톈푸컵은 이후 "중국판 p2OWN"으로 설계되었으며, 1년에 두 번 개최된다.[89]또한 2018년 컨퍼런스 직전에 마이크로소프트는 엣지의 몇 가지 취약점을 패치하여 많은 팀들이 탈퇴하게 만들었다.그럼에도 불구하고, Edge, Safari, Firefox 등에서 특정 개구부가 발견되었다.[90]제공된 보상은 엣지와 동일하지만 크롬에 대한 해킹 시도는 없었다.[20][91][92]해커들은 결국 26만 7천 달러를 받았다.[90]많은 마이크로소프트 제품들이 그것을 통해 접근할 수 있는 모든 사람들에게 큰 보상을 제공했지만, 오직 엣지만이 성공적으로 이용되었고, 또한 사파리와 파이어폭스도 이용되었다.[20]

2019

2019년 3월 밴쿠버에서 열린 CanSecWest 컨퍼런스에서 테슬라물론 VMware ESXi, VMware Workstation, Oracle VirtualBox, Chrome, Microsoft Edge, Firefox 등 범주가 참가했다.[3]테슬라는 한 쌍의 연구원이 37만 5천 달러를 벌어들인 신형 모델 3 세단에 들어갔고, 자동차 인포테인먼트 시스템에서 심각한 메모리 무작위화 버그를 발견하고 해킹한 자동차를 선보였다.[21]홈오토메이션 카테고리의 기기 해킹이 허용된 첫 해이기도 했다.[40]

폴리티코는 2019년 10월, 차기판 Pwn2OWN이 산업통제시스템을 추가했다고 보도했다.[22]Pwn2Own Tokyo는 11월 6일부터 11월 7일까지 열렸으며, 현금과 경품으로 75만 달러를 나눠줄 것으로 예상되었다.페이스북 포털아마존 에코 5, 구글 네스트 허브 맥스, 아마존 클라우드 캠, 네스트 캠 아이큐 실내와 마찬가지로 입력되었다.오큘러스 퀘스트 가상현실 키트도 함께 들어갔다.[21]2019년에는 한 팀이 아마존 에코 쇼 5를 해킹해 6만 달러를 획득했다.스마트화면이 기존 버전의 크롬을 사용했기 때문에 다른 플랫폼에 패치를 끼워 넣은 '패치 갭'을 해킹하는 방식으로 했다.[93][7]연구팀은 이번 조사 결과를 아마존과 공유했으며,[40] 아마존은 해킹을 조사하고 있으며 "적절한 조치"를 취할 것이라고 밝혔다.[93]

2020

2020년 1월 21일부터 23일까지 마이애미에서 열린 S4 컨퍼런스에서 Pwn2OWN 콘테스트의 신판이 산업 통제 시스템과 SCADA 표적만을 가지고 있었다.[94]해커들이 다수의 주요 ICS 플랫폼에서 여러 가지 장점을 입증함에 따라 참가자들은 3일 동안[95] 25만 달러 이상의 상금을 받았다.스스로를 팀 커미트라고 부르는 해커 듀오 스티븐 실리와 크리스 아나스타시오는 8만 달러, 92.5점의 마스터 오브 퐁으로 마스터[96] 타이틀을 받았다.이 대회는 전반적으로 14번의 우승 데모, 벌레 충돌로 인한 부분 우승 9회, 출품작 2회 등이 있었다.[97]

Pwn2Own 2020의 봄판은 2020년 3월 18~19일에 일어났다.테슬라는 다시 스폰서로 복귀해 모델3를 가용 타깃으로 삼았다.[98]COVID-19로 인해 회의는 가상 이벤트로 이동했다.제로 데이 이니셔티브는 원격 참여를 허용하기로 결정했다.이를 통해 연구자들은 행사에 앞서 자신의 공적을 프로그램에 보낼 수 있었다.그런 다음 ZDI 연구진은 집에서 위용을 발휘해 참가자와 줌콜은 물론 화면도 녹음했다.이 대회는 어도비 리더, 애플 사파리와 맥OS, 마이크로소프트 윈도, 오라클 VirtualBox에서 13개의 독특한 버그를 구입하는 동안 6개의 성공적인 시범을 보였으며 이틀 동안 27만 달러를 수여했다.[99]아마트 카마와 리차드 주(팀 플루오로아세테이트)의 듀오가 9만 달러의 수익으로 퐁의 마스터로 등극했다.[100]

보통 Pwn2Own Tokyo라고 불리는 Pwn2Own의 가을판은 2020년 11월 5일부터 7일까지 열렸다.COVID-19의 폐쇄가 계속되면서, 이 대회는 다시 가상으로 개최되었고 Pwn2Oown Tokyo(Live From Toronto)라는 타이틀이 붙었다.토론토에 있는 ZDI 연구원들이 이 행사를 진행했는데, 다른 연구원들이 집에서 연결해 주고 있다.이번 대회에서도 SAN(Storage Area Network) 서버가 대상으로 포함되었다.[101]이 대회에는 8개의 우승 엔트리, 벌레 충돌로 인한 부분 우승 9개, 2개의 시도가 실패했다.[102]전반적으로, 이 대회는 23개의 독특한 벌레들에게 136,500 달러를 주었다.플래시백 팀(페드로 리바이로와 라데크 도만스키)은 두 번의 WAN(Wide Area Network) 라우터 공격 성공으로 Pwn의 마스터 타이틀을 획득했다.[103]

2021

2021년 4월 6일부터 8일까지 오스틴에서 가상으로 Pwn2OWN 대회가 열렸다.올해 행사는 마이크로소프트 팀과 줌 메신저 등이 포함된 엔터프라이즈 커뮤니케이션 카테고리를 추가해 확대됐다.[104]대회 첫날 애플 사파리,[105] 마이크로소프트 익스체인지, 마이크로소프트 팀, 윈도 10,[106] 우분투가 모두 타협했다.Zoom Messenger는 대회 둘째 날 제로클릭 착취로 타협을 보았다.[107]Parallels Desktop, Google Chrome, Microsoft Edge도 대회 기간 동안 성공적으로 활용되었다.23개의 독특한 0일 동안 120만 달러 이상이 수여되었다.마스터 오브 퐁은 데브코어, OVE 팀과 다안 케페르 & 티즈 알케마데 팀과의 3파전 무승부였다.[108]올해 대회에는 사상 첫 여성 참가자 알리사 에이지도 출전했다.[1][2]

참고 항목

참조

  1. ^ a b c Ruiu, Dragos (March 20, 2007). "PWN to OWN (was Re: How Apple orchestrated web attack on researchers)". Archived from the original on May 27, 2012. Retrieved April 1, 2012.
  2. ^ a b c Goodin, Dan (20 April 2007). "Safari zero-day exploit nets $10,000 prize". Vancouver: The Register. Retrieved 10 April 2010.
  3. ^ a b c d e Goodin, Dan (January 14, 2019), Pwn2Own contest will pay $900,000 for hacks that exploit this Tesla, Ars Technica, retrieved August 16, 2019
  4. ^ Paul Ducklin (9 April 2021). "Pwn2Own 2021: Zoom, Teams, Exchange, Chrome and Edge "fully owned"". sophos.com.
  5. ^ a b c d Forslof, Terri (May 3, 2007). "Apple issues patch for QuickTime flaw". Archived from the original on January 25, 2012. Retrieved April 1, 2012.
  6. ^ a b c Forslof, Terri (25 Feb 2009). "Pwn2Own 2009". Digital Vaccine Laboratories. TippingPoint. Archived from the original on 29 March 2010. Retrieved 11 April 2010.
  7. ^ a b c d Whittaker, Zack (November 9, 2019), Two security researchers earned $60,000 for hacking an Amazon Echo., TechCrunch, retrieved November 14, 2019
  8. ^ a b c d e Naraine, Ryan (March 26, 2007). "How long can a Mac survive the hacker jungle?". ZDNet. Archived from the original on January 25, 2013. Retrieved April 1, 2012.
  9. ^ Naraine, Ryan (February 1, 2007). "Mac Developer mulling OS X equivalent of ZERT". ZDNet. Retrieved April 1, 2012.
  10. ^ Orchant, Marc (February 6, 2007). "Cancel or Allow? Good poke at Vista UAC". ZDNet. Retrieved April 1, 2012.
  11. ^ a b "About the Zero Day Initiative". Zero Day Initiative. Archived from the original on March 18, 2012. Retrieved April 1, 2012.
  12. ^ a b c d e Forslof, Terri (March 19, 2008). "CanSecWest PWN to OWN 2008 (updated)". Archived from the original on March 14, 2012. Retrieved April 1, 2012.
  13. ^ a b c d e Ruiu, Dragos (March 20, 2008). "CanSecWest 2008 PWN2OWN - Mar 26-28". Retrieved April 1, 2012.
  14. ^ a b "Zero Day Initiative". Archived from the original on 2012-03-01.
  15. ^ a b c Naraine, Ryan (March 7, 2012), Pwn2Own 2012: Google Chrome browser sandbox first to fall, ZDnet
  16. ^ a b c d e f Naraine, Ryan (March 7, 2012), Charlie Miller skipping Pwn2Own as new rules change hacking game, ZDnet
  17. ^ a b 보안 기술 자랑: Pwn2Own Pwnium 3, Chromium 블로그, 2013년 1월 28일
  18. ^ a b Keizer, Gregg (September 14, 2016), Google offers $200K for top prize in new Android hack challenge, Computer World, retrieved November 28, 2019
  19. ^ a b "Pwn2Own 2015: The year every web browser went down ZDNet". ZDNet. Retrieved 2015-11-25.
  20. ^ a b c d Armasu, Lucian (16 March 2018). "Pwn2Own 2018: Focus Changes To Kernel Exploits As Browsers Get Harder To Hack". Tom's Hardware. Purch Group. Retrieved 27 September 2018.
  21. ^ a b c d Whittaker, Zack (August 28, 2019), Hackers to stress-test Facebook Portal at hacking content, TechCrunch, retrieved August 16, 2019
  22. ^ a b Starks, Tim (October 29, 2019), "The future and past of Energy and Commerce", Politico, retrieved November 28, 2019
  23. ^ a b c "Apple QTJava toQTPointer() Pointer Arithmetic Memory Overwrite Vulnerability". Retrieved 31 March 2012.
  24. ^ a b c Vaas, Lisa (April 20, 2007). "Mac Hacked Via Safari Browser in Pwn-2-Own Contest". eWeek. Archived from the original on January 22, 2013. Retrieved March 10, 2011.
  25. ^ a b c d "Apple Safari WebKit PCRE Handling Integer Overflow Vulnerability". April 16, 2008. Archived from the original on November 20, 2012. Retrieved April 1, 2012.
  26. ^ a b c d Schofield, Jack (18 March 2009). "Pwn2Own 2009: Mac falls in seconds". The Guardian. Retrieved 2021-01-07.
  27. ^ a b c d "Adobe Flash Player DeclareFunction2 Invalid Object Use Vulnerability". April 8, 2008. Retrieved April 1, 2012.
  28. ^ a b "Apple OS X ATSServer Compact Font Format Parsing Memory Corruption Vulnerability". May 13, 2009. Retrieved April 1, 2012.
  29. ^ a b Forslof, Terri (March 18, 2009). "Pwn2Own 2009 Day 1 - Safari, Internet Explorer, and Firefox Taken Down by Four Zero-Day Exploits". Archived from the original on March 22, 2009. Retrieved April 1, 2009.
  30. ^ a b "Apple Safari Malformed SVGList Parsing Code Execution Vulnerability". May 13, 2009. Retrieved April 1, 2012.
  31. ^ a b "Mozilla Firefox XUL _moveToEdgeShift() Memory Corruption Vulnerability". March 30, 2009. Retrieved April 1, 2012.
  32. ^ a b c d e f g h i Mills, Elinor (March 24, 2010). "iPhone, Safari, IE 8, Firefox hacked in CanSecWest contest". CNet. Archived from the original on January 19, 2013. Retrieved 10 April 2010.
  33. ^ a b c "pwn2own day one: Safari, IE8 fall, Chrome unchallenged". Arstechnica. 10 March 2011.
  34. ^ a b c d e f g h i "Pwn2Own day 2: iPhone, BlackBerry beaten; Chrome, Firefox no-shows". Arstechnica. 11 March 2011.
  35. ^ a b Goodin, Dan (March 8, 2012), IE 9, on most secure Windows yet, next browser to fall at hacker contest, Ars Technica
  36. ^ a b c 연구원들이 제로 데이 결함을 가진 최신 Firefox해킹한 ZDnet, 2012년 3월 9일 Wayback Machine에 보관된 2012년 3월 13일
  37. ^ a b c Iain Thomson. "Pwn2Own: IE10, Firefox, Chrome, Reader, Java hacks land $500k". The Register.
  38. ^ a b c "Pwn2Own 2013". Hewlett Packard Enterprise. 2 March 2013. Archived from the original on 10 March 2013. Retrieved 10 March 2013.
  39. ^ a b Chrome for Android Update, Google Chrome, November 14, 2013, retrieved November 17, 2019
  40. ^ a b c Moore, Mike (August 12, 2019), Amazon Echo vulnerable to old security flaws, Engadget, retrieved November 14, 2019
  41. ^ a b "Zero Day Initiative — Pwn2Own Tokyo 2019 – Day One Results". Zero Day Initiative. Retrieved 2020-01-13.
  42. ^ a b "Zero Day Initiative — Pwn2Own Tokyo 2019 – Day Two Final Results". Zero Day Initiative. Retrieved 2020-01-13.
  43. ^ Naraine, Ryan (April 23, 2007). "10 questions for MacBook hacker Dino Dai Zovi". ZDNet. Retrieved 16 November 2010.
  44. ^ "MacBook gets hacked in security conference contest". IT Pro. Retrieved 2021-01-07.
  45. ^ "PWN to OWN Day Two: First Winner Emerges! (updated)". March 27, 2008. Archived from the original on April 12, 2012. Retrieved April 1, 2012.
  46. ^ "PWN to OWN: Final Day (and another winner!)". March 28, 2008. Archived from the original on April 12, 2012. Retrieved April 1, 2012.
  47. ^ Kebbel-Wyen, John (April 4, 2008). "Adobe Product Security Incident Response Team (PSIRT) Blog / CanSecWest 2008 Pwn2Own Contest". Archived from the original on April 17, 2012. Retrieved April 1, 2012.
  48. ^ Ruiu, Dragos (February 15, 2009). "CanSecWest 2009 Speakers and Dojo courses (Mar 14-20)". Retrieved April 1, 2012.
  49. ^ a b c d Ruiu, Dragos (March 18, 2009). "PWN2OWN Final Rules". Archived from the original on April 4, 2012. Retrieved April 1, 2012.
  50. ^ Foresman, Chris (March 27, 2009). "Pwn2Own winner says Macs are more safe, though less secure". Ars Technica. Retrieved 11 April 2010.
  51. ^ "Microsoft Internet Explorer 8 Rows Property Dangling Pointer Code Execution Vulnerability". June 10, 2009. Retrieved April 1, 2012.
  52. ^ Tinnes, Julien. "Write once, own everyone, Java deserialization issues". Retrieved 8 September 2013.
  53. ^ Forslof, Terri (March 21, 2009). "Pwn2Own Wrap Up". Archived from the original on February 11, 2012. Retrieved April 1, 2012.
  54. ^ a b c Portnoy, Aaron (15 Feb 2010). "Pwn2Own 2010". TippingPoint. Archived from the original on 13 April 2010. Retrieved 10 April 2010.
  55. ^ "About the security content of Safari 4.0.5". Apple Inc. 15 March 2010. Retrieved 4 May 2010.
  56. ^ "Opera Mini reaches important milestone — Crosses 50 million active users". Opera Software ASA. February 12, 2010. Archived from the original on 23 December 2011. Retrieved 23 July 2011.
  57. ^ "One browser. 3000 phones". Opera Software ASA. July 8, 2010. Archived from the original on 8 July 2011. Retrieved 23 July 2011.
  58. ^ "One hundred million". Opera Software ASA. February 10, 2011. Archived from the original on 6 August 2011. Retrieved 23 July 2011.
  59. ^ "Opera reaches (another) 100 million users". Opera Software ASA. April 7, 2011. Archived from the original on 13 July 2011. Retrieved 23 July 2011.
  60. ^ "Mozilla Foundation Security Advisory 2010-25 - Re-use of freed object due to scope confusion". Mozilla. April 1, 2010. Retrieved 10 April 2010.
  61. ^ Announcing Pwn2Own 2011, TippingPoint Digital Vaccine Laboratories Blog, February 2, 2011, archived from the original on February 10, 2011
  62. ^ PWN2OWN 2012 규칙 웨이백 머신에 2012년 3월 1일 보관
  63. ^ PWN2OWN 2012 상태 Wayback Machine에 2012년 6월 26일 보관됨
  64. ^ Naraine, Ryan (March 7, 2012), CanSecWest Pwnium: Google Chrome hacked with sandbox bypass, ZDnet
  65. ^ "At hacking contest, Google Chrome falls to third zero-day attack (Updated)". Ars Technica. 10 March 2012.
  66. ^ "After the pwnage: Critical Google Chrome hole plugged in 24 hours". Ars Technica. 8 March 2012.
  67. ^ a b Constantin, Lucian (14 November 2013), Researchers hack Internet Explorer 11 and Chrome at Mobile Pwn2Own, PCWorld, retrieved November 18, 2019
  68. ^ "Chrome; Firefox; IE 10; Java; Win 8 fall at #pwn2own hackfest". SC Magazine. Archived from the original on 2013-03-10. Retrieved 2013-03-07.
  69. ^ "Pwn2Own results for Wednesday (Day One)". Archived from the original on 2014-03-16. Retrieved 2014-03-15.
  70. ^ "Pwn2Own results for Thursday (Day Two)". Archived from the original on 2014-03-17. Retrieved 2014-03-15.
  71. ^ a b Westervelt, Robert (June 10, 2014), Microsoft Fixes 57 Internet Explorer Flaws, Addresses Hacker Contest Bugs, CRN, retrieved November 19, 2019
  72. ^ a b Keizer, Gregg (March 17, 2014), Google patches $310K worth of Chrome, Chrome OS bugs, ComputerWorld, retrieved November 18, 2019
  73. ^ Tung, Liam (March 14, 2014), Pwn2Own: 14 browser and plugin exploits the NSA won't be buying, Zdnet, retrieved November 18, 2019
  74. ^ "At this year's #Pwn2Own we used a total of 11 zero-days & we reported *full* exploits (including sandbox escapes) to HP+Vendors to fix them!". Archived from the original on 2015-04-02. Retrieved 2014-03-15.
  75. ^ "Listy Things". Archived from the original on 2016-03-20.
  76. ^ Kerner, Sean Michael (March 14, 2014), Pwn2Own 2014 Claims IE, Chrome, Safari and More Firefox Zero-Days, eWeek, retrieved November 18, 2019
  77. ^ "Windows Phone security sandbox survives Pwn2Own unscathed". Ars Technica. November 13, 2014.
  78. ^ Deng, Iris (3 April 2019), Tencent-backed hackers who drew praise from Elon Musk once revealed flaws in Apple's iOS, South China Morning Post, retrieved November 29, 2019
  79. ^ "Every browser goes down". Zdnet. March 23, 2015.
  80. ^ Pauli, Darren (August 4, 2016), Hackers detail the blood and guts of the 2016 Pwn2Own exploit expo, retrieved November 29, 2019
  81. ^ "Chrome, Edge, and Safari all hacked". VentureBeat. March 18, 2016.
  82. ^ "Pwn2Own 2016: Windows Most Hacked, Edge Holds Its Own, Firefox Missing In Action". eWeek. 11 February 2016.
  83. ^ a b Stangel, Luke (January 22, 2018), Google just cut a check for its biggest bug bounty in history, Silicon Valley Business Journal, retrieved November 29, 2019
  84. ^ Russon, Mary-Ann (March 21, 2017), VMWare virtual machine finally hacked at Pwn2Own 2017 security conference, retrieved November 28, 2019
  85. ^ "Pwn2Own2017: Chrome the winner". SecurityZap. 4 April 2017.[데드링크]
  86. ^ a b Heller, Michael (November 3, 2017), Researchers hack iOS 11 at Mobile Pwn2Own 2017, retrieved November 28, 2019
  87. ^ Brewster, Thomas (November 1, 2017), "Apple Warned About Evil Wi-Fi Attack That Installs Malware On iPhones", Forbes
  88. ^ a b Blue, Violet (March 16, 2018), When China hoards its hackers everyone loses, Engadget
  89. ^ Abacus (November 19, 2019), Chinese hackers break into Chrome, Microsoft Edge and Safari in competition, South China Morning Post, retrieved November 27, 2019
  90. ^ a b "Hackers Awarded $267,000 at Pwn2Own 2018". Security Week.
  91. ^ Kerner, Sean Michael (15 March 2018). "Pwn2Own 2018 Hackers Earn $162K for Safari, Edge, VirtualBox Exploit". eWEEK. QuinStreet Enterprise. Retrieved 27 September 2018.
  92. ^ "Pwn2Own 2018 Rules". Zero Day Initiative. Archived from the original on 18 June 2018. Retrieved 27 September 2018.
  93. ^ a b Fingas, Jon (November 10, 2019), Amazon Echo Show falls victim to an old flaw at hacking contest, TechRader, retrieved November 14, 2019
  94. ^ Gorenc, Brian (October 28, 2019). "Pwn2Own Miami – Bringing ICS into the Pwn2Own World". TheZDI.com. Retrieved April 16, 2021.
  95. ^ "Pwn2Own Miami: Hackers scoop $250,000 in prizes during inaugural ICS security contest". www.portswigger.net. 24 January 2020. Retrieved 2021-04-16.
  96. ^ "Inside the World's Highest-Stakes Industrial Hacking Contest". Wired. Retrieved 2021-04-16.
  97. ^ Childs, Dustin (January 21, 2020). "PWN2OWN Miami 2020 - Schedule and Live Results". TheZDI.com. Retrieved April 16, 2021.
  98. ^ "Hack a Tesla, get a Model 3 and nearly $1 million". www.cnet.com. Retrieved 2021-04-20.
  99. ^ "Windows, Ubuntu, macOS, VirtualBox fall at Pwn2Own hacking contest". zdnet.com. Retrieved 2021-04-20.
  100. ^ "Defying Covid-19's Pall: Pwn2Own Goes Virtual". threatpost.com. Retrieved 2021-04-20.
  101. ^ "Routers, NAS Devices, TVs Hacked at Pwn2Own Tokyo 2020". securityweek.com. Retrieved 2021-04-20.
  102. ^ Childs, Dustin (November 5, 2020). "Pwn2Own Tokyo (Live From Toronto) - Schedule and Live Results". thezdi.com. Retrieved April 20, 2021.
  103. ^ "Pwn2Own Tokyo Day 3: Team Flashback crowned Master of Pwn". securityaffaris.co. 8 November 2020. Retrieved 2021-04-20.
  104. ^ Gorenc, Brian (January 26, 2021). "Announcing Pwn2Own Vancouver 2021". zerodayinitiative.com. Retrieved May 28, 2021.
  105. ^ Mike Peterson (Apr 8, 2021). "Security researcher earns $100K prize for Safari exploit at Pwn2Own 2021". appleinsider.com.
  106. ^ By Joel Khalili (April 9, 2021). "Windows 10 falls victim to hackers, but not how you might think". techradar.com.
  107. ^ Thomas Brewster (Apr 8, 2021). "Microsoft Teams And Zoom Hacked In $1 Million Competition". forbes.com.
  108. ^ Adam Bannister (9 April 2021). "Pwn2Own 2021: Zero-click Zoom exploit among winners as payout record smashed". portswigger.net.

외부 링크