1864180

Hacker knacken Chrome, Safari und IE 11

15.11.2013 | 18:31 Uhr |

Bei der Herbst-Ausgabe des Hacker-Wettbewerbs Pwn2own in Japan standen Mobilsysteme im Mittelpunkt. Am ersten Tag fielen Android sowie Safari auf iOS 7, am zweiten Tag waren Chrome auf Android und der Internet Explorer 11 auf einem Surface-Tablet dran.

Während sich die März-Ausgabe des Hacker-Wettbewerbs Pwn2own im Rahmen der CanSecWest-Konferenz im kanadischen Vancouver wieder mehr den Desktop-Systemen zugewandt hat, widmet sich Mobile Pwn2own im Herbst den Mobilgeräten. Die Veranstaltung hat in dieser Woche während der PacSec-Konferenz in der japanischen Hauptstadt Tokio stattgefunden. Hauptsponsor ist wieder HP, dessen Tochter TippingPoint den Wettbewerb veranstaltet.

Am Mittwoch, dem ersten Tag des Wettbewerbs, hat zunächst ein chinesisches Team eine Schwachstelle in Safari auf dem iPhone 5 mit iOS 7.0.3 ausgenutzt, um Anmeldedaten für Facebook abzufangen. Das Keen Team, das als erstes chinesisches Team überhaupt beim Pwn2own gewinnen konnte, hat noch einen zweiten Exploit demonstriert. Sie nutzten eine Safari-Lücke unter iOS 6.1.4, um auf dem kompromittierten Gerät gespeicherte Fotos zu stehlen. Die Chinesen haben insgesamt 27.500 US-Dollar Preisgeld erhalten.

Noch am selben Tag hat ein japanisches Team ein Samsung Galaxy S4 gehackt. Die Forscher der Firma Mitsui Bussan Secure Directions haben eine Schwachstelle in einer nicht genannten Software ausgenutzt, die Samsung auf dem S4 vorinstalliert. Die Ausnutzung dieser Schwachstelle ermöglicht es die vollständige Kontrolle über das Android-Smartphone zu erlangen. Die Hacker haben dies genutzt, um per Drive-by Download Malware zu installieren und 40.000 Dollar Preisgeld zu kassieren.

Am Donnerstag hat ein unter dem Pseudonym "Pinkie Pie" bekannter Hacker die Chrome-Sandbox auf den Android-Geräten Nexus 4 und Galaxy S4 kompromittiert. Einzige Voraussetzung für einen erfolgreichen Exploit war das Anklicken eines Links auf einer präparierten Web-Seite. Der Rest des Angriffs funktioniert ohne Benutzereingriff und gibt dem Angreifer die Möglichkeit beliebigen Code einzuschleusen und auszuführen.

Die ausgenutzte Sicherheitslücke ist, wie es die Wettbewerbsregeln vorsehen, an Google gemeldet worden. Die Chrome-Entwickler haben die Schwachstelle bereits behoben und die geflickte Chrome-Version 31.0.160.59 für alle Plattformen (Windows, Mac, Linux, Android) veröffentlicht. Pinkie Pie hat schon früher bei Googles Pwnium-Wettbewerb Lücken in der Chrome-Sandbox aufgezeigt. In Tokio hat er 40.000 Dollar gewonnen, die Google noch um weitere 10.000 Dollar aufgestockt hat.

Außer Konkurrenz, weil zum veranstaltenden Unternehmen gehörend, haben HP-Forscher auf einem Surface-Pro-Tablet mit Windows RT 8.1 gezeigt, wie der Internet Explorer 11 mit Hilfe einer "Use-after-free"-Lücke gehackt werden kann. Sie demonstrierten außerdem einen SMS-Fuzzer.

Insgesamt haben Sicherheitsforscher bei dieser Ausgabe des Pwn2own-Wettbewerbs 117.500 US-Dollar gewonnen, 300.000 Dollar waren als Gesamtsumme ausgelobt. HP hat eine Video-Galerie der Hacks veröffentlicht.

0 Kommentare zu diesem Artikel
1864180