iphone-ticker.de — Alles zum iPhone. Seit 2007. 38 549 Artikel
   

Hacker-Wettbewerb Pwn2Own: Safaris Buddelkiste hält stand

Artikel auf Mastodon teilen.
10 Kommentare 10

Der Pwn2Own-Wettbewerb, seit Jahren ein fester Bestandteil der CanSecWest Security Conference, wird diesmal im Rahmen der Japanischen PacSec 2013 abgehalten und fordert die an ihm teilnehmenden Hacker dazu auf, Schwachstellen in Browsern und Betriebssystemen zu finden, offenzulegen und auszunutzen.

miller

Fähigen Köpfen, denen es gelingt verschiedene Rechner bzw. die auf ihnen installierten Browser zu hacken bekommen dafür stattliche Preisgelder.

In den letzten Jahren macht sich vor allem der Sicherheitsexperte Charlie Miller mit mehreren erfolgreichen Angriffen auf Apples mobilen Safari-Browser einen Namen. 2011 konnte Miller unter anderem die automatische Löschung des iPhone-Adressbuchs provozieren.

Im laufenden Jahr teilt sich ein Team von acht chinesischen Sicherheits-Experten das von den Pwn2Own-Veranstaltern ausgelobte Preisgeld von $27.000 in der Mobilgeräte-Kategorie. So gelang es dem Team „Keen“ jetzt zwei erfolgreiche Angriffe gegen Apples Safari-Browser zu fahren, mit denen sich unter anderem Account-Daten eines Facebook-Nutzers auslesen ließen (iOS 7.0.3) und ein Schnappschuss aus der Foto-Bibliothek des iPhones gestohlen werden konnte (iOS 6.1.4).

Beide Schwachstellen wurden auf werksfrischen iPhone 5-Einheiten ausgenutzt – auf den sogenannten „Jailbreak“ der Geräte wurde verzichtet.

Im Gegensatz zu früheren Pwn2Own-Erfolgsmeldungen gelang es dem chinesischen Team jedoch nicht, die Application-Sandbox Safaris zu kompromittieren. Auf das restliche iOS-Betriebssystem wirkten sich die Angriffe gegen Apples mobilen Browser also nicht (negativ) aus. Im Rahmen der Wettbewerbsregeln wurden die gefundenen Schwachstellen – beide Hacks setzten das aktive Aufrufen eines manipulierten Links voraus – an Apple und Google gemeldet.

The first was an application exploit. Via Safari, the team were able to steal a Facebook cookie that was then exfiltrated and used to compromise the targeted Facebook account from another machine. In order for the exploit to work, a user would need to click on a link in an email, an SMS, or a web page, so some social engineering would be required to prompt a user to take an action before their credentials could be compromised.

The second was another Safari exploit and it took a little longer due to technical difficulties (we forgot to plug their laptop in). In this case the vulnerability in Safari was exploitable due to issues with the permissions model. Keen Team was able to access photos stored on the device. Again, in order to be successful the affected user would need to click on a link.

Dieser Artikel enthält Affiliate-Links. Wer darüber einkauft unterstützt uns mit einem Teil des unveränderten Kaufpreises. Was ist das?
14. Nov 2013 um 16:32 Uhr von Nicolas Fehler gefunden?


    Zum Absenden des Formulars muss Google reCAPTCHA geladen werden.
    Google reCAPTCHA Datenschutzerklärung

    Google reCAPTCHA laden

    10 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
  • Jetzt wüsste ich allerdings gerne, wiesich die Angriffe auf das Betrirbssystem positiv ausgewirkt haben können…
    ;-)

  • Redet mit. Seid nett zueinander!

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPhone, iPad, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 38549 Artikel in den vergangenen 6275 Tagen veröffentlicht. Und es werden täglich mehr.
    ifun.de — Love it or leave it   ·   Copyright © 2024 aketo GmbH   ·   Impressum   ·   Cookie Einstellungen   ·   Datenschutz   ·   Safari-Push aketo GmbH Powered by SysEleven