Pwn2Own: Lücken in iPhone, IE & Firefox entdeckt

Beim alljährlichen Pwn2Own-Wettbewerb auf der Sicherheitskonferenz CanSecWest gilt es für Hacker, Sicherheitslücken ausfindig zu machen und ausführbare Codes auf dem Endgerät einzuschleusen. Den Siegern winkt ein Preisgeld, dafür erhält der Veranstalter Informationen zu der ausgenutzten Lücke.

Die beiden Sieger des diesjährigen Wettbewerbs fanden eine Möglichkeit, die Kurznachrichten eines iPhones auszulesen. Vincenzo Iozzo vom Bochumer Unternehmen Zynamics und Ralf Weinmann von der Universität Luxemburg schleusten über eine manipulierte Website, die mit der mobilen Variante des Safari-Browsers aufgerufen wurde, einen Code auf dem iPhone ein, welcher angeblich auch bereits gelöschte Kurzmitteilungen auslesen kann – entsprechend der Angaben beider Entwickler sei es auch möglich auf diesem Weg andere Daten wie Bilder, Videos oder Adressen auszulesen.

Das größte Problem bestand darin die Schadsoftware an Apples Code Signing vorbei zu schleusen, welche normalerweise sicherstellt, dass Software aus dem eigenen Hause stammt. Das Umgehen war durch Aufrufen verschiedenster anderer Schadcodes möglich.

Im Rahmen des Pwn2Own wurden weiterhin Lücken im Internet Explorer 8, Apples Safari und Mozillas Firefox bekannt. Inwiefern die Entdecker der Lücken bereits im Vorfeld daran gearbeitet haben, ist weitestgehend unbekannt. Daher lassen sich durch diesen Wettbewerb kaum Rückschlüsse auf die Anfälligkeit des Browser schließen. Am Chrome-Browser von Google hat sich beispielsweise keiner der Hacker versucht, woraus allerdings nicht geschlossen werden kann, dass dieser frei von Sicherheitslücken ist.

Die ausfindig gemachten Schwachstellen der Browser werden vom Veranstalter an die jeweiligen Herausgeber weitergereicht.