Beim jährlichen Hackerwettbewerb Mobile Pwn2Own 2017 ist es dem Tencent Keen Security Lab gelungen, Apples iPhone 7 wiederholt zu kompromittieren. Die Sicherheitsforscher nutzten dabei zwei verschiedene Schwachstellen in dem Smartphone, das mit dem aktuellen Mobilbetriebssystem iOS 11.1 lief.
Der erste erfolgreiche Hack war durch einen WLAN-Fehler möglich und brachte dem Team eine Prämie von 110.000 Dollar sowie 11 Master-of-Pwn-Punkte ein. Dabei entfielen 60.000 Dollar auf den WLAN-Exploit. Weitere 50.000 wurden dafür vergeben, dass die bösartige Anwendung der Sicherheitsforscher sich als beständig erwies und auch einen Neustart überlebte. Sie nutzten insgesamt vier Bugs, um Code auszuführen und erhöhte Berechtigungen zu erlangen.
Der zweite Hack nutzte eine Anfälligkeit im Safari-Browser aus und wurde mit weiteren 45.000 Dollar sowie 13 Punkten honoriert. Das Keen Security Lab benötigte nur wenige Sekunden, um den erfolgreichen Exploit vorzuführen. Der Angriff erforderte zwei Bugs, die sich im Browser und in einem Systemdienst fanden. Eine bösartige App konnte sie auch nach einem Neustart des iPhone 7 weiterhin nutzen. Auf einen ebensolchen Safari-Hack stieß außerdem ein Sicherheitsforscher, der sich “mj0011” nennt, und erhielt eine Prämie von 25.000 Dollar. Ein weitere iPhone-7-Attacke von 360 Security war teilweise erfolgreich und brachte 20.000 Dollar ein.
Pwn2Own fand während der Sicherheitskonferenz PacSec in Tokio statt. Sicherheitsforscher verbrachten zwei Tage mit Versuchen, Apples iPhone 7, Samsungs Galaxy S8, Googles Pixel sowie Huaweis Mate 9 Pro zu hacken. Veranstalter Trend Micro wollte damit seine Zero Day Initiative (ZDI) voranbringen, die Sicherheitsforscher für die Enthüllung kritischer Sicherheitslücken an Hersteller wie Apple und Google belohnt. Die Hacks brachten den Teilnehmern schon am ersten Tag 350.000 Dollar ein – und insgesamt rund eine halbe Million Dollar.
Die iPhone-7-Hacker vom Keen Security Lab, der Sicherheitssparte des chinesischen Internetkonzerns Tencent, holten außerdem die Auszeichnung als Master of Pwn. Das Team hatte sich mit 44 Punkten an die Spitze der Teilnehmer gesetzt.
Weitere erfolgreiche Angriffe gelangen auf Huawei Mate 9 Pro und Samsung Galaxy S8, bei denen Schwachstellen in Browser sowie Basebandchip ausgenutzt wurden, wie aus einem Überblick der Zero Day Initiative zu ersehen. 360 Security erhielt 70.000 Dollar und 11 Hackerpunkte für die Demonstration eines Fehlers in Samsungs Internet-Browser beim Galaxy S8, durch den sich Code ausführen und anschließend erhöhte Berechtigungen in einer Samsung-Anwendung erlangen ließen – auch dieser Hack überlebte einen Neustart.
Die erfolgreich angewandten Exploits und ihre Details wurden noch an Ort und Stelle den betreffenden Herstellern enthüllt, soweit sie anwesend waren. Vertreter von Apple besuchten die Pwn2Own-Wettbewerbe seit Jahren, um Kenntnis von entdeckten Sicherheitslücken zu erhalten. Die Unternehmen haben nach der vertraulichen Enthüllung 90 Tage Zeit, um die jeweiligen Schwachstellen durch Patches zu beseitigen, bevor diese auch öffentlich enthüllt werden.
Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Die Entscheidung für den richtigen Autotyp gleicht der Wahl eines treuen Begleiters im Alltag. Ob…
Bewertungsportale spielen für viele Konsumenten eine zentrale Rolle bei der Entscheidungsfindung. Sie bieten Einblicke in…
Mit fortschrittlichen Customer Identity und Access Management (CIAM) Lösungen definiert Nevis Security neue Standards in…
Im digitalen Zeitalter ist der Online-Handel zu einem der wichtigsten Wirtschaftszweige geworden.
Partnerschaften sind am effektivsten (und angenehmsten), wenn sie auf einer Grundlage von gegenseitigem Respekt und…
adesso baut derzeit mit Hilfe des führenden Enterprise-Search-Anbieters Sinequa ein neues Competence Center für Enterprise…