{"id":57125,"date":"2013-11-14T16:32:17","date_gmt":"2013-11-14T15:32:17","guid":{"rendered":"http:\/\/www.iphone-ticker.de\/?p=57125"},"modified":"2013-11-14T16:32:17","modified_gmt":"2013-11-14T15:32:17","slug":"hacker-wettbewerb-pwn2own-safaris-buddelkiste-haelt-stand","status":"publish","type":"post","link":"https:\/\/www.iphone-ticker.de\/hacker-wettbewerb-pwn2own-safaris-buddelkiste-haelt-stand-57125\/","title":{"rendered":"Hacker-Wettbewerb Pwn2Own: Safaris Buddelkiste h\u00e4lt stand"},"content":{"rendered":"

Der Pwn2Own-Wettbewerb<\/a>, seit Jahren ein fester Bestandteil der CanSecWest Security Conference, wird diesmal im Rahmen der Japanischen PacSec 2013 abgehalten und fordert die an ihm teilnehmenden Hacker dazu auf, Schwachstellen in Browsern und Betriebssystemen zu finden, offenzulegen und auszunutzen. <\/p>\n

\"miller\"<\/a><\/p>\n

F\u00e4higen K\u00f6pfen, denen es gelingt verschiedene Rechner bzw. die auf ihnen installierten Browser zu hacken bekommen daf\u00fcr stattliche Preisgelder. <\/p>\n

In den letzten Jahren macht sich vor allem der Sicherheitsexperte Charlie Miller<\/a> mit mehreren erfolgreichen Angriffen auf Apples mobilen Safari-Browser einen Namen. 2011 konnte Miller unter anderem die automatische L\u00f6schung des iPhone-Adressbuchs provozieren<\/a>. <\/p>\n

Im laufenden Jahr teilt sich ein Team von acht chinesischen Sicherheits-Experten das von den Pwn2Own-Veranstaltern ausgelobte Preisgeld von $27.000 in der Mobilger\u00e4te-Kategorie. So gelang es<\/a> dem Team „Keen“ jetzt zwei erfolgreiche Angriffe gegen Apples Safari-Browser zu fahren, mit denen sich unter anderem Account-Daten eines Facebook-Nutzers auslesen lie\u00dfen (iOS 7.0.3) und ein Schnappschuss aus der Foto-Bibliothek des iPhones gestohlen werden konnte (iOS 6.1.4).<\/p>\n

Beide Schwachstellen wurden auf werksfrischen iPhone 5-Einheiten ausgenutzt – auf den sogenannten „Jailbreak“ der Ger\u00e4te wurde verzichtet. <\/p>\n

Im Gegensatz zu fr\u00fcheren Pwn2Own-Erfolgsmeldungen gelang es dem chinesischen Team jedoch nicht, die Application-Sandbox<\/a> Safaris zu kompromittieren. Auf das restliche iOS-Betriebssystem wirkten sich die Angriffe gegen Apples mobilen Browser also nicht (negativ) aus. Im Rahmen der Wettbewerbsregeln wurden die gefundenen Schwachstellen – beide Hacks setzten das aktive Aufrufen eines manipulierten Links voraus – an Apple und Google gemeldet. <\/p>\n

The first was an application exploit. Via Safari, the team were able to steal a Facebook cookie that was then exfiltrated and used to compromise the targeted Facebook account from another machine. In order for the exploit to work, a user would need to click on a link in an email, an SMS, or a web page, so some social engineering would be required to prompt a user to take an action before their credentials could be compromised.<\/p>\n

The second was another Safari exploit and it took a little longer due to technical difficulties (we forgot to plug their laptop in). In this case the vulnerability in Safari was exploitable due to issues with the permissions model. Keen Team was able to access photos stored on the device. Again, in order to be successful the affected user would need to click on a link.<\/p><\/blockquote>\n","protected":false},"excerpt":{"rendered":"\"\"<\/a>

Der Pwn2Own-Wettbewerb, seit Jahren ein fester Bestandteil der CanSecWest Security Conference, wird diesmal im Rahmen der Japanischen PacSec 2013 abgehalten und fordert die an ihm teilnehmenden Hacker dazu auf, Schwachstellen in Browsern und Betriebssystemen zu finden, offenzulegen und auszunutzen. F\u00e4higen K\u00f6pfen, denen es gelingt verschiedene Rechner bzw. die auf ihnen installierten Browser zu hacken bekommen […]<\/p>\n","protected":false},"author":1,"featured_media":57126,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[639],"tags":[160,43,5661,52],"class_list":["post-57125","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-ios","tag-china","tag-hacks","tag-ios","tag-safari"],"aioseo_notices":[],"featured_image":["http:\/\/www.iphone-ticker.de\/wp-content\/uploads\/2013\/06\/display1.jpg"],"rest_api_enabler":{"featured_image":"http:\/\/www.iphone-ticker.de\/wp-content\/uploads\/2013\/06\/display1.jpg"},"_links":{"self":[{"href":"https:\/\/www.iphone-ticker.de\/apiv2\/wp\/v2\/posts\/57125","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.iphone-ticker.de\/apiv2\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.iphone-ticker.de\/apiv2\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.iphone-ticker.de\/apiv2\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.iphone-ticker.de\/apiv2\/wp\/v2\/comments?post=57125"}],"version-history":[{"count":1,"href":"https:\/\/www.iphone-ticker.de\/apiv2\/wp\/v2\/posts\/57125\/revisions"}],"predecessor-version":[{"id":57127,"href":"https:\/\/www.iphone-ticker.de\/apiv2\/wp\/v2\/posts\/57125\/revisions\/57127"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.iphone-ticker.de\/apiv2\/wp\/v2\/media\/57126"}],"wp:attachment":[{"href":"https:\/\/www.iphone-ticker.de\/apiv2\/wp\/v2\/media?parent=57125"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.iphone-ticker.de\/apiv2\/wp\/v2\/categories?post=57125"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.iphone-ticker.de\/apiv2\/wp\/v2\/tags?post=57125"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}