iPhone und andere Smartphones überstehen Pwn2Own-Contest unbeschadet
Während die Browser den Pwn2Own-Wettbewerb allesamt nicht überstanden haben und innerhalb der ersten zwei Tage der CanSecWest geknackt wurden, konnten die Smartphones im Parallelcontest allen Angriffen standhalten.
Zum ersten Mal wurden auch die Smartphones den Härtetests der Hacker unterzogen, aber niemand konnte in den insgesamt drei Tagen einen Erfolg verzeichnen, selbst das iPhone hielt Stand und offenbarte keine überwindbare Sicherheitslücke.
Im Vergleich zum Browsercontest war die ausgelobte Siegprämie doppelt so hoch: Pro geknacktem Smartphone sollten $10.000 an den Schnellsten gehen, dazu sollte es das Smartphone inklusive Jahresvertrag geben. Warum es niemand geschafft hat, dürfte mehrere Gründe haben: Zum einen hat der Contest dieses Jahr zum ersten Mal stattgefunden, zum anderen war ein Großteil der anwesenden Hacker eher uninteressiert am Hacken der Smartphones. “Die Untersuchung von Mobiltelefonen steht gerade erst am Anfang. Nicht viele haben das Vorwissen, die Geräte voll auszuschöpfen, außerdem wurden keine Hacks vorbereitet,” so Aaron Portnoy, Sicherheitsforscher bei TippingPoint. Auch Charlie Miller, der in Windeseile Safari geknackt hat, hatte seinen Angriff bis ins Detail geplant und konnte deshalb so schnell einen Erfolg verzeichnen.
Für dieses Jahr haben iPhone und Co. also nochmal Glück gehabt, im nächsten Jahr kann das alles schon anders aussehen. Es gibt angeblich bereits erste Hinweise auf gefundene Sicherheitslücken, die noch nicht so gut erforscht sind und im kommenden Jahr angegriffen werden können.
markus m meint:
Doch, es hat ein Browser stand gehalten… Google’s Chrome. Es wurden zwar Bugs gefunden, aber es konnte kein Schadhafter Code ausgeführt werden.
Schade das Opera nicht dabei war, hätte mich interessiert ob der auch stand gehalten hätte.
Mäddin meint:
Außerdem dürfte laut Heise (wo die Meldung ja vermutlich herkommt) das “Überleben” des iPhone daran liegen dass der Exploit für Safari nur einmal benutzt werden durfte. Bitte schreibt doch wenigstens vollständig ab!
milan meint:
Vielleicht hats niemand geschafft weil der erste Preis ein Smartphone +mit Jahresvertrag” gewesen ist :P
fraggy meint:
und dass das hacken auf dem mac viel einfacher und schneller geht als auf win-rechnern hättet ihr der fairness halber ja auch ruhig mal erwähnen können ;-)
Pwn2Own-Contest: Sicherheitslücken in iPhone OS 3.1.3 und Safari meint:
[...] Auf der diesjährigen Sicherheitskonferenz ist es Teilnehmern des Pwn2Own-Wettbewerbs nun (erneut) gelungen, iPhone und MacBook Pro über Sicherheitslücken zu manipulieren. Einer der Gewinner ist Charlie Miller, der bereits in den letzten zwei Jahren die Hackbarkeit des iPhone bewiesen hat. Gerade einmal 20 Sekunden soll es bei Vincenzo Iozzo und Ralf Philipp Weinmann gedauert haben, bis ein Exploit über eine Lücke im Mobile Safari ausgeführt wurde. Dabei soll es gelungen sein, die SMS-Datenbank inklusive bereits gelöschter Nachrichten auszulesen und auf den Hacker-eigenen Server hochzuladen. Die Hardware: Ein aktuelles iPhone 3GS mit iPhone OS 3.1.3. Insgesamt zwei Wochen sollen die zwei an dem Exploit gearbeitet haben, das Vorgehen war aber alles andere als simpel. Hauptschwierigkeit war Apples Code-Signing sowie Technologien, die das Ausführen von Fremdcode verhindern sollen. Die Attacke erlaubte es den Hackern, Code auf dem iPhone auszuführen, sobald ein Nutzer eine schadhafte Website aufruft. Neben dem Auslesen des SMS-Speichers sollen theoretisch auch andere Zugriffe möglich sein, z.B. auf Mailkonten, Fotos oder Adressbuch. Im letzten Jahr hielten iPhone und andere Smartphones im Contest den Angriffen noch Stand. [...]