iphone-ticker.de — Alles zum iPhone. Seit 2007. 19 009 Artikel
   

Hacker-Wettbewerb: iPhone übersteht „pwn2own“ nicht unbeschadet – Firmware-Update demnächst

Artikel auf Google Plus teilen.
19 Kommentare 19

Der pwn2own-Wettbewerb ist seit Jahren ein fester Bestandteil der CanSecWest Security Conference und fordert die an ihm teilnehmenden Hacker regelmäßig dazu auf Schwachstellen in Browsern und Betriebssystemen zu finden und diese auszunutzen. Fähigen Köpfen denen es gelingt verschiedene Rechner bzw. die auf ihnen installierten Browser zu hacken bekommen $5000 Preisgeld – für Sicherheitslücken im iPhone bzw. in MobileSafari wurden bis zu $15.000 ausgelobt.

In Sachen Safari konnte sich der Sicherheitsexperte Charlie Miller auch auf dem diesjährigen pwn2own-Wettbewerb wieder einen Namen machen. Bereits in den letzten zwei Jahren mit erfolgreichen Browser-Hacks vertreten, konnte Miller vor knapp einer Stunde den Vollzugriff auf das OS X Terminal eines entfernten Rechners für sich verbuchen.

Vincenzo Iozzo und Ralf Philipp Weinmann widmeten sich dem iPhone und erlangten – ohne physikalischen Zugriff auf das Gerät; und ohne den Einsatz eines Jailbreaks – Zugriff auf die SMS-Datenbank des iPhones.

Laut Aussagen des iPhone DEV-Teams könnte der von Iozzo und Weinmann eingesetzte Code, auch zum Browser-basierten Jailbreak genutzt werden (wir erinnern uns an den Oktober 2007). Eine Veröffentlichung der Schwachstellen ist jedoch nicht vor dem nächsten iPhone-Softwareupdate zu erwarten. Traditionell werden die auf die CanSecWest Security Conference gefundenen Sicherheitslücken zuerst an die Hersteller der betroffenen Geräte weitergereicht und landen erst Wochen später im Netz. Kurzum: Das nächste iPhone-Update dürfte nicht mehr lange auf sich warten lassen.

Donnerstag, 25. Mrz 2010, 1:32 Uhr — Nicolas
19 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
Rede mit!
  • Coole Sache das, vielleicht verbindet apple das kommende Sicherheits-update gleich mit ein paar feinen Erweiterungen…

  • Ich komme gerade nicht ganz hinterher. Warum soll das nächste Update nicht mehr lange auf sich warten lassen? Weil Apple die Sicherheitslücke so schnell wie möglich schließen will? Aber wenn nur ein paar wenige Menschen das Zeug dazu haben, und der Hack eh nur „wochenspäter im Netz landet“ muss Apple doch nicht zwangsweise schnell handeln…oder?

    • Der Hack landet „Wochen später“ im Netz, weil der Hersteller bereits das Problem (durch ein Update) behoben hat. Falls der Hersteller (in dem Fall Apple!) nicht handelt, drohen die Hacker, den „Fehler“ frühzeitig zu releasen, somit steigt der Druck und auch du könntest durch die Veröffentlichung diesen Hack nutzen. ;)

  • Sehr interessant. Das ganze Thema kann ja eine große Maschinerie in Gang bringen. Möglicherweise released das Dev-Team den 3.1.3 Exploit, welcher die aktuelle FW jailbreaken und unlocken kann. Der Exploit als solcher existiert ja schon.

    Nur (wenn ich es richtig verstanden habe) erlangt der Hacker durch den Hack „lediglich“ User-Rechte – keine root-Rechte, welche zum Jailbreak benötigt sind.

  • Jailbreaken kann man die 3.1.3 Wenn man von der 3.1.2 aus eine CFW 3.1.3 eingespielt hat. Nicht ootb. Genauso auch mit dem BB.

  • Also für 15.000 Dollar würde ich der JB-Fraktion auch in den Rücken fallen. Aber Spaß beiseite, die Prognosen und annahmen scheinen sich ja bestätigt zu haben. Gerade wie schnell der Safari fällt. Mal sehen was sich bei den anderen so getan hat. Ich finde solche Wettbewerbe sehr unterhaltsam.

  • Hammer, das macht mir angst…
    iPimp

  • Schade nur, dass Apple immer einer der letzen ist die das Problem mit einem Update lösen. Apple ist ja bekannt dafür sich für das Schließen von Sicherheitslücken, egal wie brisant, sehr lange zeit zu lassen. Nein, und auch durch die lange Wartezeit ist nicht sicher, dass Apple die Lücke geschlossen oder ein Problem behoben hat.

    Das muss man Microsoft echt lassen, die sind da deutlich schneller.
    Ich würde mir wünschen, dass Apple solche Sicherheitsaktualisierungen unabhängig vom OS-Update anbietet. Gerade bei Geräten, auf denen man so viele Daten gespeichert hat, sollte die Sicherheit der Daten oberste Priorität haben.

    • Ich hab zwar keine ahnung von apple, aber microsoft brauch auch ziiiemlich lange!!

      aber ist normal, weil der patch muss ja auch getestet werden, man will sich ja nicht wieder an anderer stelle lücken reissen

    • Microsoft schneller mit den updates? Es gibt/gab diverse Exploits, die in Windows & der IE jahrelang und offensichtlich bekannt sind, bevor sie gepatch werden/wurden.

    • Microsoft ist schnell?

      Wie war das gleich noch?

      Exploit: Ungeschützte Speicheradressierung
      Benötigte Zeit bis zum Bugfix: ca. 8 Jahre

      Oder vertue ich mich da gerade…?

      • Es gibt spät jede Woche Sicherheitsupdates die erwähnten Lücken sind eher theoretischer Natur gewesen. Wie hat der eine Hacker noch gesagt, hacking Windows is hard word, hacking MacOS is fun.
        Aber so ist das mit allem sobald man genug Geräte im Umlauf hat kommen die Hacker, da es sich vorher nicht lohn und etwas als vermeintlich sicher gilt. Deswegen ist es gut wenn jeder seine Vorlieben hat und sein System damit nicht eines komplett dominiert.

      • MacOS ist ein Schweizer Käse der darauf warten Apples Update-Bereitschaft auf eine harte Probe stellen. Dann werden auch die Meldungen gewaltig in die Höhe gehen und der neue Spruch bei Computereinsteigern wird sein:

        „Du hast ein Virus? Nutzt du etwas einen Mac? Steig um auf XXX der ist absolut Sicherer, einfacher und innovativer!“

        Aber etwas Zeit hat MacOS noch, im Moment interessieren sich nur den wenigsten Hacker für das OS. Aber Cracker machen auf dem Markt dort bereits bares Gold und gutes Geld, da sie anbieten Daten zu besorgen von Firmen die auf einen Mac hinterlegen.

      • Ja, OS X SL hat nach wie vor viele Lücken. Ebenso wie übrigens Windows 7.
        Klar, Windows hat beispielsweise eine bessere ALSR-Implementierung, aber sowas hält auch nur „faule“ Hacker auf.

        Grob zusammengefasst kann man sagen: Es ist leichter unter MacOS X einen aktiven Account manuell zu hacken als unter Windows. Unter Windows ist es einfacher einen aktiven Account manuell zu hacken um auf sämtliche anderen Nutzerprofile Root zuzugreifen. Im Vergleich zu einem *nix-System sind OS X und Windows beide leicht zu hacken. Und aktuell gibt es entschieden mehr Hacker die sich auf Windows spezialisiert haben, weil der Marktanteil von Microsoft noch bedeutend größer ist. Apple muss sich als langsam mal ranhalten und Microsoft schludert trotz dem „Hackerkreuzfeuer“ in dem ihr OS steht.

        Außerdem: Bisher gibt es kein „un-hackbares“ System.

        Thema Datenklau:
        Wenn jemand irgendwelche Daten von einem Firmenserver klaut, gegeben dem Falle der Systemadmin ist nicht all zu blöde und wir haben es hier mit einem XServe zu tun; was will unser Cracker-Hacker denn dann mit dem verschlüsseltem image großartig anstellen? Seinem Auftraggeber sagen es dauert ein paar Stunden bis Jahre länger? :) (Richtig, es gibt quasi keine perfekte Verschlüsselung die sich nicht entschlüsseln lässt. Die „Problematik“ ist nur die benötigte Zeit für’s Entschlüsseln)

        Oh…bevor ich es vergessen: Die Probleme mit der Speicheradressierung waren zwar angeblich nur theoretischer Natur, haben aber von sich aus für viele Bluescreens/Kernel Panics gesorgt :)

  • Traditionell wird Apple bestimmt auch eine Stange Geld für die Liste der Schwachstellen bezahlen müssen.

  • Redet mit. Seid nett zueinander!

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPad, iPod, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 19009 Artikel in den vergangenen 3317 Tagen veröffentlicht. Und es werden täglich mehr.
    ifun.de — Love it or leave it   ·   Copyright © 2016 aketo GmbH   ·   Impressum   ·   Datenschutz   ·   Auf dieser Seite werben aketo GmbH Powered by SysEleven