iphone-ticker.de — Alles zum iPhone. Seit 2007. 19 500 Artikel
   

Hacker-Wettbewerb Pwn2Own: Safaris Buddelkiste hält stand

Artikel auf Google Plus teilen.
10 Kommentare 10

Der Pwn2Own-Wettbewerb, seit Jahren ein fester Bestandteil der CanSecWest Security Conference, wird diesmal im Rahmen der Japanischen PacSec 2013 abgehalten und fordert die an ihm teilnehmenden Hacker dazu auf, Schwachstellen in Browsern und Betriebssystemen zu finden, offenzulegen und auszunutzen.

miller

Fähigen Köpfen, denen es gelingt verschiedene Rechner bzw. die auf ihnen installierten Browser zu hacken bekommen dafür stattliche Preisgelder.

In den letzten Jahren macht sich vor allem der Sicherheitsexperte Charlie Miller mit mehreren erfolgreichen Angriffen auf Apples mobilen Safari-Browser einen Namen. 2011 konnte Miller unter anderem die automatische Löschung des iPhone-Adressbuchs provozieren.

Im laufenden Jahr teilt sich ein Team von acht chinesischen Sicherheits-Experten das von den Pwn2Own-Veranstaltern ausgelobte Preisgeld von $27.000 in der Mobilgeräte-Kategorie. So gelang es dem Team „Keen“ jetzt zwei erfolgreiche Angriffe gegen Apples Safari-Browser zu fahren, mit denen sich unter anderem Account-Daten eines Facebook-Nutzers auslesen ließen (iOS 7.0.3) und ein Schnappschuss aus der Foto-Bibliothek des iPhones gestohlen werden konnte (iOS 6.1.4).

Beide Schwachstellen wurden auf werksfrischen iPhone 5-Einheiten ausgenutzt – auf den sogenannten „Jailbreak“ der Geräte wurde verzichtet.

Im Gegensatz zu früheren Pwn2Own-Erfolgsmeldungen gelang es dem chinesischen Team jedoch nicht, die Application-Sandbox Safaris zu kompromittieren. Auf das restliche iOS-Betriebssystem wirkten sich die Angriffe gegen Apples mobilen Browser also nicht (negativ) aus. Im Rahmen der Wettbewerbsregeln wurden die gefundenen Schwachstellen – beide Hacks setzten das aktive Aufrufen eines manipulierten Links voraus – an Apple und Google gemeldet.

The first was an application exploit. Via Safari, the team were able to steal a Facebook cookie that was then exfiltrated and used to compromise the targeted Facebook account from another machine. In order for the exploit to work, a user would need to click on a link in an email, an SMS, or a web page, so some social engineering would be required to prompt a user to take an action before their credentials could be compromised.

The second was another Safari exploit and it took a little longer due to technical difficulties (we forgot to plug their laptop in). In this case the vulnerability in Safari was exploitable due to issues with the permissions model. Keen Team was able to access photos stored on the device. Again, in order to be successful the affected user would need to click on a link.

Donnerstag, 14. Nov 2013, 16:32 Uhr — Nicolas
10 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
Rede mit!
  • Jetzt wüsste ich allerdings gerne, wiesich die Angriffe auf das Betrirbssystem positiv ausgewirkt haben können…
    ;-)

    • Es ist positiv für Apple und letztendlich für uns Benutzer, da das ganze anscheinend sehr sicher ist.
      Mit reiner „Krimineller“ Energie scheint sich ios nicht knacken zu lassen, also sind wir Benutzer mit unserem Verhalten die Schwachstelle, und nicht wie bei der Konkurrenz das ganze System.
      Abgesehen natürlich von den frenetisch heraufbeschworenen Lücken die diversen Sicherheit’s Institutionen zugesichert sein sollen.

      • Toll. Ein Forenmitglied, das sich vertan hat, dies eingesteht und sich entschuldigt.
        Ich mag dieses Forum bzw. die Kommentatoren dieser Seite (meistens).
        Respekt!

    Redet mit. Seid nett zueinander!

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPad, iPod, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 19500 Artikel in den vergangenen 3388 Tagen veröffentlicht. Und es werden täglich mehr.
    ifun.de — Love it or leave it   ·   Copyright © 2016 aketo GmbH   ·   Impressum   ·   Datenschutz   ·   Auf dieser Seite werben aketo GmbH Powered by SysEleven