News 26.03.2010, 11:42 Uhr

iPhone und Browser gehackt

Beim diesjährigen Hacker-Wettbewerb Pwn2own hat Apples iPhone nur wenige Minuten durchgehalten. Auch alle vertretenen Browser bis auf Google Chrome wurden innert kurzer Zeit gehackt.
Derzeit findet im kanadischen Vancouver die Security-Konferenz CanSecWest statt. Im Rahmen der Veranstaltung wird auch der Hacker-Wettbewerb Pwn2own durchgeführt. In diesem Jahr wurden bereits in den ersten Minuten Safari, Firefox und der Internet Explorer sowie das iPhone gehackt.
Im Rahmen des Wettbewerbs demonstrieren Sicherheitsforscher neu entdeckte Security-Lücken und dürfen das gehackte Gerät sowie eine Geldprämie mit nach Hause nehmen. Die Systeme sind mit allen verfügbaren Sicherheits-Updates ausgerüstet. Dazu zählen etwa ein MacBook mit Mac OS X 10.6, drei Windows-Notebooks sowie vier Smartphones, darunter ein iPhone 3GS, ein BlackBerry Bold 9700 und ein Nexus One. Insgesamt hat der Sponsor des Wettbewerbs, die 3Com-Tochter TippingPoint, 100'000 US-Dollar an Preisgeldern spendiert – 10'000 für jeden Browser und 15'000 pro Smartphone.
Charlie Miller hat zum dritten Mal in Folge das MacBook gewonnen, wofür er, wie schon im Vorjahr, einen Safari-Exploit benutzt hat. Ein deutscher Student mit dem Vornamen Nils hat Firefox unter Windows 7 gehackt. Sein Safari-Exploit hat ihm hingegen keinen Preis eingebracht, denn Miller war durch Losglück vor ihm an der Reihe.
Vincenzo Iozzo und Ralf Philipp Weinmann, die Newcomer in diesem Jahr, haben mithilfe eines Safari-Exploits das iPhone gehackt und sind zudem die Schnellsten gewesen. Auch der Internet Explorer 8 unter Windows 7 ist bereits am ersten Tag gefallen. Der Wettbewerb läuft, mit abgesenkten Hürden, noch zwei weitere Tage. Die benutzten Sicherheitslücken hält TippingPoint unter Verschluss, bis die Hersteller Updates bereitgestellt haben, um sie zu schliessen.
Über die Sicherheit der vertretenen Systeme sagt der Wettbewerb wenig aus. Mit genügend Zeit und Aufwand ist jedes System zu knacken. An Chrome hat sich schlicht niemand versucht. Interessanter ist, wie schnell die Hersteller Sicherheits-Updates bereitstellen. Im letzten Jahr hat Mozilla den Vogel abgeschossen, indem es zwei Firefox-Lücken innerhalb einer Woche schloss.



Kommentare
Avatar
iowl
26.03.2010
Zitat: An Chrome hat sich schlicht niemand versucht Könnte auch sein dass alle gewusst haben dass er nicht zu knacken ist. :D

Avatar
Noel
27.03.2010
Zitat: An Chrome hat sich schlicht niemand versucht Könnte auch sein dass alle gewusst haben dass er nicht zu knacken ist. :D Genau das macht einen Browser ja vermeintlich sicherer. Nicht dass er wirklich ohne Fehl und Tadel ist sondern nur so wenig verbreitet, dass es niemanden interessiert den zu hacken. War ja lange auch bei Firefox so.

Avatar
pagefault
27.03.2010
Die benötigte Zeit, um den Hack auszuführen bzw die Reihenfolge, in welcher die Browser "geknackt" wurden, sollte man beim pwn2own Wettbewerb nicht überbewerten: Wenn also z.B. der Firefox vor dem IE oder vor Safari übernommen wird, ist das "Losglück" und sagt nichts über die Sicherheit der Software aus. Hingegen kommt es stark drauf an, an welchem Tag des Wettbewerbs ein Browser "fällt", da mit jedem Tag die Regeln aufgeweicht werden. Lies: Ein System, welches erst am zweiten Tag fällt, ist als sicherer einzuschätzen, als eines, welches schon am ersten Tag kompromittiert wird. Da alle (effektiv getesteten) Browser schon am ersten Tag fielen, ist "sicherer" ein sehr relativer Begriff geworden! Dass sich keiner der Teilnehmer an Chrome versucht hat, sollte nicht als Sicherheitsbeweis angeschaut werden, sondern mehr als Interesselosigkeit.

Avatar
kut
29.03.2010
Seite neu laden iPhone und Browser gehackt Interessant, dass keine Linux-Systeme zum Knacken getestet wurden. Mfg kut

Avatar
pagefault
29.03.2010
Interessant, dass keine Linux-Systeme zum Knacken getestet wurden.Die reinen Betriebssysteme sind schon lange uninteressant (uneinnehmbar) geworden. Jedes moderne Betriebssystem hat heute eine solide Firewall an Bord, die es per se praktisch unangreifbar macht. Nur wird kaum jemand einen Rechner ans Internet anschliessen, nur um darauf ein nacktes Betriebssystem zu betreiben. Dem trägt der pwn2own Wettbewerb Rechnung, indem neu vor allem die Browser, welche eine Art "Schnittstelle zum Internet" darstellen, geprüft werden. Der letzte Test mit "blutten" Betriebssystemen (u.a. auch Ubuntu) fand 2008 statt. Schon damals haben sich alle Betriebssysteme als uneinnehmbar erwiesen, sodass die Bedingungen gelockert werden mussten und auch Browser und -Plugins eingesetzt werden durften. Falls du also mit deinem Posting auf die "Unverwundbarkeit" von Linux hinweisen wolltest, bist du ungenügend informiert.