De afgelopen Pwn2Own hackerwedstrijd geeft een verkeerd beeld over de veiligheid van webbrowsers en is daarom enigszins gevaarlijk, aldus beveiligingsonderzoeker en Google-medewerker Michal Zalewski. Tijdens Pwn2Own kregen onderzoekers drie dagen de tijd om Apple Safari, Microsoft Internet Explorer, Google Chrome en Mozilla Firefox te hacken. Op de eerste dag sneuvelden IE en Safai, terwijl Chrome en Firefox aan het eind van de wedstrijd nog overeind stonden.

Volgens Zalewski helpen open en transparante beloningsprogramma's voor beveiligingsonderzoekers, zoals die van Mozilla en Firefox, bij het veilig maken en houden van een bepaald platform. In het geval van Pwn2Own is daar geen sprake van. De wedstrijd draait om de ontwikkeling van een enkele exploit, die voor een behoorlijk bedrag wordt overgedragen. In dat proces wordt de achtergrond van het lek niet geopenbaard. Daarnaast valt ook het aantal Pwn2Own-lekken in het niets, in vergelijking met het totaal aantal browserlekken dat jaarlijks wordt gevonden.

Graadmeter
De beveiligingsonderzoeker heeft ook kritiek op de presentatie van het evenement. Alle media-aandacht ondermijnt elke poging om een betekenisvolle en redelijke discussie over de veiligheid van browsers te hebben, aldus Zalewski. Hij verwijst daarbij naar opmerkingen en koppen dat Safari in vijf seconden werd gehackt, terwijl het ontwikkelen van de exploit en het vinden van het lek dagen of zelfs weken heeft gekost.

Zalewski is wel blij dat Chrome en Firefox de wedstrijd zonder kleerscheuren doorkwamen, maar benadrukt dat Pwn2Own geen goede graadmeter is. "Er zijn leveranciers die achterlopen als het op vulnerability respons en proactief beveiligingswerk aankomt, en er zijn lastige problemen die we nog steeds moeten oplossen om het web veiliger te maken. Maar door Pwn2Own geïnspireerde koppen (en mogelijk aangemoedigd door de organisatie) zijn erg oneerlijk, en vervreemden onnodig de partijen die juist aandacht aan hun veiligheid moeten besteden."