2260936

Pwn20wn 2017: Safari als Einfallstür für macOS

20.03.2017 | 16:37 Uhr |

Die alljährliche Sicherheitskonferenz CanSecWest hatte auch in diesem Jahr wieder den berühmten Pwn2Own Wettbewerb. Dort zeigen Wissenschaftler neue Einfallstore in bekannte Softwaresysteme. Gegen ein stattliches Preisgeld zeigen die Angreifer, wie sie das System erfolgreich aushebeln, und geben anschließend den Firmen genügend Zeit die Lücken zu schließen.

Auch in diesem Jahr war mit Safari und macOS zwei Apple Produkte vertreten. Wissenschaftler haben es sich seit jeher zur Aufgabe gemacht, sogenannte 0-day (Zero-Day- oder “Tag-Null”-) Lücken zu finden. Diese werden so genannt, da kein Hersteller davon etwas weiß, und es dafür noch keinen Patch oder Aktualisierung gibt. Das macht sie besonders gefährlich: Solche Lücken können ungestört von Angreifern ausgenutzt werden, um Computer-Systeme zu übernehmen, ohne das jemand etwas mitbekommt.

Stattliche Preisgelder

Nicht von ungefähr kommen daher stattliche Preisgelder und Auszeichnungen. Summen in Höhe von 50.000 Dollar sind keine Seltenheit. Für ganz knifflige Angriffe werden sogar bis zu 100.000 Dollar ausbezahlt. Das Geld wird meist von Forschungseinrichtungen eingesetzt um weiter arbeiten zu können.

Über den Safari in die Touch Bar

Die Touch Bar war auch auf der Sicherheitskonferenz in aller Munde. Angreifer konnten nämlich durch einen Fehler im Apple eigene Browser Safari eine Lücke ausnutzen, um sich so Root-Rechte unter macOS zu verschaffen. Mit diesen haben die Wissenschaftler eine Nachricht auf der Touch Bar platziert, um ihren Angriff und die Sicherheitslücke zu beweisen.

Forschern auf dem Pwn2Own Wettbewerb ist es gelungen, durch eine Lücke in Safari auf die Touch Bar des neuen Macbook Pro zuzugreifen.
Vergrößern Forschern auf dem Pwn2Own Wettbewerb ist es gelungen, durch eine Lücke in Safari auf die Touch Bar des neuen Macbook Pro zuzugreifen.

Detaillierte Punkte werden aus Sicherheitsgründen und aus Angst vor Nachahmung zurückgehalten bis der Hersteller, in diesem Fall Apple, die Lücke behoben hat. Auch in den letzten Jahren war Apple fleißig mit  von der Partie. Angreifer suchen sich nicht zuletzt um den Aufmerksamkeitswillen und hohen Preisgeldern neuere Betriebssysteme aus.

Die Entdeckung der Lücke brachte den Forschern 25.000 Dollar ein. Bevor sie das Preisgeld jedoch bekommen, müssen die Details beim Hersteller (Apple) eingereicht werden, damit dieser Gelegenheit hat, die Lücke zu schließen.

Microsoft Edge bringt Höchstpreis

Der neue Browser unter Windows, Microsoft Edge, hat zwei Forschern den Höchstpreis eingebracht. Ganze 105.000 Dollar wurden an das 360 Security Team ausbezahlt. Auch hier wurde eine Art Buffer Overflow verwendet, um auf eigentlich verbotene Stellen im System zu zugreifen.

Welches System ist sicherer?

Auch wenn Sicherheitskonferenzen vor allem für die außenstehende Bevölkerung für besondere Aufmerksamkeit sorgt, lässt sich daraus keine Vergleich zwischen den verschiedenen Systemen ableiten. Welche Schlussfolgerungen sich aber ganz bestimmt für die Nutzer ergeben: Kein System ist sicher, und auch wenn Apple viel Zeit und Aufwand in die Sicherheit der eigenen Software steckt, ist diese so komplex, dass solche Lücken oder Aneinanderreihungen von Fehlern sich nicht ganz vermeiden lassen.

Sicherheitsupdates am Mac sind das eine, dennoch sollten Sie macOS oder iOS nicht blind vertrauen und die eigenen Daten mit Sorgfalt verwalten beziehungsweise von Apple und der iCloud verwalten lassen.

0 Kommentare zu diesem Artikel

PC-WELT Marktplatz

2260936