Adressbuch aus der Ferne löschen: Hacker demonstriert iOS-Sicherheitslücke beim Pwn2Own-Wettbewerb
Der pwn2own-Wettbewerb ist seit Jahren ein fester Bestandteil der CanSecWest Security Conference und fordert die an ihm teilnehmenden Hacker regelmäßig dazu auf Schwachstellen in Browsern und Betriebssystemen zu finden und diese auszunutzen. Fähigen Köpfen denen es gelingt verschiedene Rechner bzw. die auf ihnen installierten Browser zu hacken bekommen $5000 Preisgeld – für Sicherheitslücken im iPhone bzw. in MobileSafari wurden bis zu $15.000 ausgelobt.
Wie bereits in den beiden vergangenen Jahren konnte sich in Sachen Safari der Sicherheitsexperte Charlie Miller auch auf dem diesjährigen pwn2own-Wettbewerb wieder einen Namen machen und führte am zweiten Tage der Hacker-Show einen Angriff auf den iPhone-Browser MobileSafari vor, mit dem die automatische Löschung des iPhone-Adressbuchs provoziert werden konnte.
The attack simply required that the target iPhone surfs to a rigged web site. On first attempt at the drive-by exploit, the iPhone browser crashed but once it was relaunched, Miller was able to hijack the entire address book.
Nutzer des aktuellen iOS 4.3 Betriebssystems müssen sich jedoch keinen Kopf machen. Zwar existiert die Lücke in Apples frischer Firmware noch, lässt sich durch den ASLR-Einsatz Apples (die Wiki erklärt das Konzept des „address space layout randomization“ ganz anschaulich) aber nicht mehr ausnutzen.
find ich gut das so was gemacht wird, da es öffentlich gemacht wird können die Firmen diese Lücken direkt schließen.
Daumen hoch ;)
Genau, total toll. Sag das mal den 3G Besitzern die jetzt in die Röhre schauen, weil Apple den Fix für Sie gar nicht schließt.
Na ja, ich habe noch ein 2G daheim, was soll ich dann noch sagen?
Genau für 3.1.3 funzt immer noch der pdf Hack via jailbreakme…
Kauf Dir ein Android Phone ;-)
Puuhhh, dann muss ich ganz schnell auf n JB für 4.3 warten…
Wie geil, na dann warte mal „ganz schnell“. Poste Fotos, hab sowas noch nie gesehen! ;-)
100% Zustimmung!
hier leider auch!
Super sache,
da sollte Sony sich mal ein Beispiel dran nehmen……
Der Sieger des Wettbewerbs kriegt das Geld.
Alle anderen kriegen nix und gehen teilweise mit fertigem Exploit wieder heim, natürlich nicht veröffentlicht.
Also im Prinzip mit einer geladenen und entsicherten Waffe
Böse Jungs haben sicher kein Problem, für den Exploit zu zahlen
Ob das wirklich so gut ist mag jeder selbst entscheiden
der Sieger bekommt das Geld.
alle anderen gehen mit ihrem fertigen Exploit ohne Geld wieder nach Hause, natürlich nicht veröffentlicht.
Also im Prinzip mit einer geladenen und entsicherten Waffe.
Böse Jungs haben sicher kein Problem damit, für den Exploit etwas Geld hinzulegen.
Ob die Regeln des Wettbewerbs wirklich so gut sind, mag jeder selbst entscheiden.
Grüße !
Ich finde es eigentlich ganz gut, allerdings müssten die exploits aller bearbeitet werden und die hersteller jedem der eine solche lücke findet eine gewisse summe zahlen, je nach gefährlichkeit der lücke.
Mir ist es gelungen, Kommata azs eurer News zu löschen – aber ich will mal nicht so sein und gebe sie euch zurück:
,,,,,,,,,,
:p
YMMD!! :D
Warum hat „Der Hacker“ Wichstücher auf seinem Schreibtisch stehen? ;o))
Allergiker ;-) ?
ich denke da gibts schon heftigere Lücken als nur son doofes „komm auf meine seite ich machn overflow in deinen browser und schleuss schadcode ein“
die lücke hat fast jedes Tool. php hatte das letztens, firefox. usw
Du weist aber schon das PHP kein „Tool“ ist, oder?
Das ist eine Programmiersprache, kann also keinen Drive-By Exploid haben.
ja weiß ich. dann halt firefox.
Leider verweigert mir Apple allerdings die Installation von 4.3 bei meinem 3G *Grrr*
Ja so ein Mist für mein Siemens S4 gibt’s auch keine neue Software mehr!
Für mein Trium Mars auch keins!
Da muss sich echt mal was tun im Hause Mitsubishi…
3 jahre nach herstellung gabs da aber noch was…
Mein Adressbuch können se haben…who cares!
Ist ja nicht deine Nummer , Adresse, …
:-)
Was deine dort gespeicherten Kollegen wohl dazu sagen würden. Hoffe du hast deinen Beitrag nicht unter dem Einfluss dem geschrieben, was aus den ersten 4 Buchstaben deines Nicknames besteht.