Ekspertene hadde ingen problemer med å bryte seg inn i Apple iPhone X, Samsung Galaxy S9 og Xiaomi Mi6.
Det skjedde under hackerkonkurransen Mobile Pwn2Own, som denne uken ble avholdt i Tokyo i regi av Trend Micros Zero Day Initiative (ZDI).
Alle enhetene var utstyrt med nyeste versjon av sine respektive operativsystemer og alt av tilgjengelige oppdateringer installert.
En mengde nye kritiske sårbarheter
Bare tre påmeldte team av sikkerhetsforskere stilte til årets konkurranse. De hadde til gjengjeld forberedt seg godt.
Samlet ble det utbetalt 325 000 dollar for 18 tidligere ukjent sikkerhetshull, såkalte nulldagssårbarheter i mobiltelefonene.
Sikkerhetsforskerne Richard Zhu og Amat Cama, en duo som kalte seg Fluoracetate, stakk alene av gårde med hele 215 000 dollar av pengepremiene.
Totalt lå det mer enn 500 000 dollar i premiepotten, men ingen av deltakerne brydde seg verken med Googles eller Huaweis toppmodell, og heller ikke en ny kategori IoT-enheter.
Hacket over wifi
Fluoracetate klarte å fjernhacke iPhone X over et WiFi-nettverk ved å utnytte en sårbarhet i JIT-kompilatoren i den innebygde nettleseren Safari, for deretter å bryte seg ut av sandkasse-beskyttelsen og kjøre vilkårlig kode.
Videre brøt duoen seg inn i Xiaomi-telefonen via NFC-brikken. De tok også kontroll over en Galaxy S9 etter å ha kompromittert enhetens baseband, en del av mobiltelefonen som tar seg av radiofunksjonalitet.
MWR Labs, et britisk trekløver med Georgi Geshev, Fabi Beterke og Rob Miller brøt seg også inn i Galaxy S9 og Xiaomi-telefonen. Sistnevnte med fem ulike sårbarheter, som inkluderte skjult installasjon av en mobilapp via Javascript.
Michael Contreras, den eneste som stilte i team alene, klarte også å knekke Xiaomi Mi6 via en annen sårbarhet i telefonens innebygde nettleser.
Følges tett av produsentene
Ifølge arrangøren var representanter fra både Apple, Google, Samsung, Xiaomi og Huawei til stede under hackerkonkurransen.
Selskapene har fått detaljer om sårbarhetene som deltakerne har funnet og demonstrert. Nå får de 90 dager på seg til å lage sikkerhetsfikser til produktene, etter vanlige regler for ansvarlig rapportering.
Urørte enheter
Ingen av deltakerne forsøkte å angripe Google Pixel 2 eller Huawei P20, som det også var anledning til å bryne seg på. Det er ikke dermed sagt at disse er noe mindre utsatt for sårbarheter.
Nytt av året var det også en IoT-kategori med egne pengepremier. Dette inkluderte enheter som Apple Watch, Amazon Echo, Google Home, samt videoovervåkningskameraer fra Nest og Amazon. Disse fikk også ligge urørt, da samtlige team valgte å konsentrere seg om mobiltelefonene.