移动Pwn2Own黑客大赛2016重装上阵，这次为安全研究人员奉上的，是25万美元的iPhone解锁奖励和25万美元的安卓手机破解奖金。

今年年初，惠普企业(HPE)将零日计划(ZDI)转手卖给了趋势科技，随着赞助商的转换，Pwn2Own大赛也经历了一些改组。Pwn2Own大赛浏览器版已于今年3月由惠普和趋势科技联手举办。将于10月举行的2016 移动Pwn2Own黑客大赛，则是首届没有HPE赞助的Pwn2Own。

趋势科技漏洞研究高级经理布莱恩·戈伦茨说：“对我们而言，这依然是Pwn2Own。我们总是希望每次大赛都给我们带来前所未见的新东西，但如果你已经见识过，其实大赛的本质总是相似的。”

温哥华 CanSecWest 大会举行的2016 Pwn2Own 浏览器大赛上，ZDI向公开演示Web浏览器新零日漏洞利用的研究人员派发了总计46万美元的奖金。

本次移动Pwn2Own将于10月26-27日在东京的PacSec安全大会上举行，奖金池总额高达50万美元。2016移动大赛，ZDI希望研究人员针对3种特定的移动设备：苹果 iPhone 6x，谷歌 Nexus 6p和三星 Galaxy Note7.

针对所有目标设备，ZDI给研究人员设置了几项挑战。第一项就是从设备获取敏感信息。谁能突破iPhone或谷歌Nexus，获取到这两种手机上的敏感信息，就能得到5万美元的奖励。能从三星Galaxy上获取敏感信息的研究人员将有3.5万美元的入账。

另一项挑战就是在目标设备上安装流氓应用。iPhone上安装可得12.5万美元奖励，谷歌Nexus上可得10万，三星Galaxy上可得6万。

大赛期间，每台手机的操作系统都会是最新的，会打上全部现有补丁。这或许会让ZDI的研究人员在大赛前加班更新手机，但让目标设备保持最新状态才有意义。

所有目标设备都会启用默认设置。对于iOS，这意味着Pwn2Own参赛者必须攻克Safari，因为Safari就是iOS的默认浏览器，也是该设备用户最常见最真实的使用场景。过去，Pwn2Own参赛者演示过许多WebKit浏览器渲染引擎相关的漏洞。WebKit就是Safari背后的核心渲染引擎，且有许多组件至今仍在谷歌Chrome里使用。

每次大赛的威胁态势都不一样，很难预测那个组件会被当做目标。WebKit很可能有露脸，但期待看到一些新的技术和研究。

对于流氓应用安装，ZDI没有特别的要求，留给参赛者在公开演示阶段充分展现创造力的空间。

解锁iPhone

本次Pwn2Own竞赛上最大的单项奖励，会授予成功解锁iPhone的研究人员。最近几个月，解锁iPhone一直是个热点话题。据称FBI花了130万美元才绕过IPhone锁屏。苹果公司自己的漏洞奖励项目设置了20万的奖金，安全公司 Exodus Intelligence 则会为iOS零日漏洞付出50万美元的奖金。

ZDI认为，为iPhone解锁漏洞拿出25万美元的奖励是比较合适的。达成iPhone解锁必然要付出大量的研究，这个数额的奖金不算太差。除了这笔钱，研究人员还会获得赢下Pwn2Own的业界认可。

市场才是最终决定25万美元的奖金是否公平的裁判。有人尝试公开解锁iPhone的前景还是很光明的。通过ZDI报告漏洞至少能让漏洞切实得到厂家的修复，比其他的选择要好。