MACNOTES

Veröffentlicht am  25.03.10, 12:21 Uhr von  

Pwn2Own-Contest: Sicherheitslücken in iPhone OS 3.1.3 und Safari

PwnageAuf der diesjährigen Sicherheitskonferenz ist es Teilnehmern des Pwn2Own-Wettbewerbs nun (erneut) gelungen, iPhone und MacBook Pro über Sicherheitslücken zu manipulieren. Einer der Gewinner ist Charlie Miller, der bereits in den letzten zwei Jahren die Hackbarkeit des iPhone bewiesen hat.

Gerade einmal 20 Sekunden soll es bei Vincenzo Iozzo und Ralf Philipp Weinmann gedauert haben, bis ein Exploit über eine Lücke im Mobile Safari ausgeführt wurde. Dabei soll es gelungen sein, die SMS-Datenbank inklusive bereits gelöschter Nachrichten auszulesen und auf den Hacker-eigenen Server hochzuladen. Die Hardware: Ein aktuelles iPhone 3GS mit iPhone OS 3.1.3. Insgesamt zwei Wochen sollen die zwei an dem Exploit gearbeitet haben, das Vorgehen war aber alles andere als simpel. Hauptschwierigkeit war Apples Code-Signing sowie Technologien, die das Ausführen von Fremdcode verhindern sollen. Die Attacke erlaubte es den Hackern, Code auf dem iPhone auszuführen, sobald ein Nutzer eine schadhafte Website aufruft. Neben dem Auslesen des SMS-Speichers sollen theoretisch auch andere Zugriffe möglich sein, z.B. auf Mailkonten, Fotos oder Adressbuch. Im letzten Jahr hielten iPhone und andere Smartphones im Contest den Angriffen noch Stand.

Auch das MacBook Pro ist alles andere als sicher: Mittels einer Schwachstelle in Safari gelang es dem sonst iPhone-hackenden Charlie Miller, eine Shell auf dem betroffenen MacBook Pro zu öffnen und das Gerät komplett zu übernehmen.

Detailierte Informationen zu den Exploits wurden nicht veröffentlicht (so steht es auch in den Wettbewerbsregeln), wohl aber an Apple weitergeben. Entsprechend ist zu hoffen, dass die Lücken in kommenden Updates von iPhone OS und Mac OS X geschlossen werden.

Der Pwn2Own-Contest wirde jedes Jahr auf der CanSecWest ausgetragen, um die Anfälligkeit verschiedener Betriebssysteme und Browser genauer unter die Lupe zu nehmen. Zu gewinen gab es ingesamt $100.000.

 Und wie ist deine Meinung?  Schreib uns einfach!

 6 Kommentar(e) bisher

  •  Chris sagte am 25. März 2010:

    Leute, konzentriert euch auf den unlock. So ein Shit hilft uns allen nicht weiter!!

    Antworten 
  •  it´s me sagte am 25. März 2010:

    Schon komisch…. und sowas bei dem ach so sicheren Apple Produkten. In 20 Sekunden ;)

    Antworten 
  •  kr sagte am 25. März 2010:

    nix da 20 sekunden. Vorher 2 Wochen daran gearbeitet um das Ding einschleusen zu können.

    Antworten 
  •  it's me sagte am 25. März 2010:

    Trotzdem ändert das nichts an der Tatsache das Safari bzw. OSX nicht sicherer/unsicherer sind als andere Systeme. Das nur für jene, die auf die Sicherheit von Apple schwören….. xD

    Antworten 
  •  kg sagte am 25. März 2010:

    @kr @it’s me geht auch eher darum, dass sich die potentiellen Opfer nur für kurze Zeit auf der schadhaften Page aufhalten müssen, um ausspioniert zu werden – das ist die Gefahr dabei.

    Antworten 
  •  kr sagte am 25. März 2010:

    sicher können gute Hacker heutzutage alles knacken keine Frage im Internet ist nichts sicher. Jedoch hatte ich bis jetzt ein mal einen Virus auf einen Mac. Das war 1999 und der kam von einer Word-Datei.
    Auf unseren PC’s wird so was dauernd gemeldet. Also ist für den normalen Nutzer der Mac zur Zeit sichererer als der PC.

    Antworten 

Kommentar verfassen

 0  Tweets und Re-Tweets
       0  Likes auf Facebook
        Werbung
        © 2006-2013 MACNOTES.DE. Made with insanely great for all things Mac. Apple.de