Pwn2Own-Hacker haben Apples iOS und Samsung mit Android in der Luft zerrissen
Sicherheits-Experten konnten fast 70.000 US-Dollar an Preisgeldern einstecken und haben gezeigt, wie man iPhones und “Samsung Galaxy S4”-Geräten das Fürchten lehrt. Das Ganze fand im Rahmen des Pwn2Own-Hacking-Wettbewerbs auf der Security-Konferenz PacSec 2013 statt.
Ein japanisches Team von Mitsui Bussan Secure Directions konnte 40.000 US-Dollar einstreichen, nachdem Sie sensible Daten von einem Samsung Galaxy S4 gestohlen haben. Weiterhin haben Sie Angriffs-Code installiert und dabei Sicherheitslücken genutzt, die sich in der per Standard installierten Software befand. Der Anwender musste dabei nur eine speziell manipulierte Website besuchen.
So ein Exploit ist natürlich beunruhigend. Der Anwender muss wirklich nur die Seite besuchen und sonst keine Interaktionen durchführen. Man muss die Nutzer also nur auf die Website locken, was mit den heutigen sozialen Netzwerken nicht besonders schwer sein dürfte.
Ein Team von acht Personen von Keen Cloud Tech in China haben gezeigt, wie man eine Sicherheitslücke in iOS 7.0.3 ausnutzen und damit Facebook-Login-Daten stehlen kann. Außerdem klauten Sie ein Foto von einem Gerät mit iOS 6.1.4. Das brachte ihnen 27,500 US-Dollar Preisgeld ein. Der Angriff konnte Apples Sandbox-Technologie allerdings nicht aushebeln – sonst wäre das Preisgeld höher ausgefallen. Der Angriff ist auf YouTube in Aktion zu sehen:
Bei beiden Apple-Hacks muss der Anwender auf einen speziellen Link klicken. Aber wie gesagt sollte das in der heutigen Zeit kein Problem mehr sein. Erstmals hat ein chinesisches Team bei Pwn2Own etwas gewonnen und für den erfolgreichen Angriff brauchten Sie nur zirka fünf Minuten.
Das Pwn2Own-Team hat die entsprechenden Hersteller über die Sicherheitslücken in Kenntnis gesetzt. Fixes sollten bald verfügbar sein. Alle Team-Mitglieder geben die Informationen inklusive den verwendeten Code heraus – das ist Teil des Deals.
Pwn2Own ist noch nicht vorüber und es gäbe noch 100,000 US-Dollar zu holen. Dazu müssen die Team aber die Baseband-Elektronik, die hinter der Kommunikation eines Smartphones steht, knacken.