Under PacSec 2013 anordnas för första gången en mobil variant av de klassiska pwn2own-tävlingarna. Med en total prispott på 200 000 dollar uppmanas hackare att hitta säkerhetsbrister i smartphones och deras operativssystem. För att en attack ska godkännas ska den dels utnyttja tidigare okända sårbarheter samt kräva ingen eller väldigt begränsad interaktion från användarens sida. 

Ett japanskt team från Mitsui Bussan Secure Directions tjänade 40 000 dollar efter att visat hur de kan stjäla känslig information från en Samsung Galaxy S4 och installera skadlig kod genom att utnyttja sårbarheter i programvaran som är fabriksinstallerad på enheten. För att attacken ska lyckas krävs att användaren går in på en speciellt konstruerad hemsida, men utöver det krävs ingen användarinteraktion.

Samtidigt visade ett team från Keen Cloud Tech i Kina hur man kan utnyttja en sårbarhet i IOS version 7.0.3 för att stjäla inloggningsuppgifter till Facebook. Man stal också ett foto från en enhet som körde IOS 6.1.4. Totalt fick de 27 500 dollar i prispengar. Attacken lyckades inte knäcka Apples sandbox-teknik, hade de gjort det skulle de ha tjänat mycket mer.

Båda IOS-hacken kräver att användaren klickar på en länk, men det är inte svårt att göra med lite social engineering. Tävlingsledningen har kontaktat tillverkarna och berättat om sårbarheterna. Hackarna som deltagit i tävlingen är dessutom skyldiga att lämna en detaljerad beskrivning av hur de genomfört sina attacker.

Chansen, eller risken om man väljer att se det så, finns att vi får se ännu flera säkerhetsbrister avslöjas. Det återstår i skrivande stund över 100 000 dollar att tävla om.