На Pwn2Own двум участникам благодаря неизвестной ранее уязвимости в iPhone удалось скачать всего за 20 секунд всю базу смс, включая удаленные ранее сообщения, через встроенный в смартфон браузер Safari. Проверку надежности на конкурсе в первый день также проходили десктопные браузеры, и Internet Explorer 8 на Windows 7, Firefox 3 на Windows 7 и Safari 4 на Mac OS X 10.6 были также успешно взломаны. Единственным браузером, который остался неприступным оказался Chrome, при этом никто даже не пробовал совершать на него атаку.
Методы успешных атак, а на Pwn2Own практически всегда используются только неизвестные ранее ошибки, традиционно не оглашаются широкой публике, а отправляются разработчикам, чтобы те могли исправить код своих программ. Впрочем случаются и исключения. Участник успешно взломавший Internet Explorer все-таки описал используемые им принципы и выложил инструкцию в Интернет. Браузер Safari вот уже третий год подряд ломается одним и тем же участником, Чарли Миллером.
Поскольку на данный момент известны только подробности о взломе iPhone Safari и Internet Explorer 8, то можно заметить, что в них использовался схожий подход. Все работы участников не выходили за рамки виртуальной среды (sandbox), которую браузеры специально инициализируют для защиты операционной системы. К примеру эта среда не позволяет записывать файлы и таким образом препятствует распространению вирусов. Однако взломщики использовали доступные привилегии на чтение файлов для своих целей. Как считается именно хороший механизм работы виртуальной среды в Google Chrome привел к тому, что накануне конкурса ни один из участников не выбрал данный браузер целью для своих атак. Помимо этого известно, что буквально за пару дней до начала Pwn2Own в Google выпустили новый апдейт безопасности, который устранил целый ряд потенциально опасных ошибок.
Напомним, что участники успешно взломавшие на Pwn2Own программные продукты получают денежные призы. Сумма, выданная за удачное проведение атаки на iPhone составила $15 тыс.