Hacker-Wettbewerb Pwn2Own: Safaris Buddelkiste hält stand

Der Pwn2Own-Wettbewerb, seit Jahren ein fester Bestandteil der CanSecWest Security Conference, wird diesmal im Rahmen der Japanischen PacSec 2013 abgehalten und fordert die an ihm teilnehmenden Hacker dazu auf, Schwachstellen in Browsern und Betriebssystemen zu finden, offenzulegen und auszunutzen.

Fähigen Köpfen, denen es gelingt verschiedene Rechner bzw. die auf ihnen installierten Browser zu hacken bekommen dafür stattliche Preisgelder.

In den letzten Jahren macht sich vor allem der Sicherheitsexperte Charlie Miller mit mehreren erfolgreichen Angriffen auf Apples mobilen Safari-Browser einen Namen. 2011 konnte Miller unter anderem die automatische Löschung des iPhone-Adressbuchs provozieren.

Im laufenden Jahr teilt sich ein Team von acht chinesischen Sicherheits-Experten das von den Pwn2Own-Veranstaltern ausgelobte Preisgeld von $27.000 in der Mobilgeräte-Kategorie. So gelang es dem Team „Keen“ jetzt zwei erfolgreiche Angriffe gegen Apples Safari-Browser zu fahren, mit denen sich unter anderem Account-Daten eines Facebook-Nutzers auslesen ließen (iOS 7.0.3) und ein Schnappschuss aus der Foto-Bibliothek des iPhones gestohlen werden konnte (iOS 6.1.4).

Beide Schwachstellen wurden auf werksfrischen iPhone 5-Einheiten ausgenutzt – auf den sogenannten „Jailbreak“ der Geräte wurde verzichtet.

Im Gegensatz zu früheren Pwn2Own-Erfolgsmeldungen gelang es dem chinesischen Team jedoch nicht, die Application-Sandbox Safaris zu kompromittieren. Auf das restliche iOS-Betriebssystem wirkten sich die Angriffe gegen Apples mobilen Browser also nicht (negativ) aus. Im Rahmen der Wettbewerbsregeln wurden die gefundenen Schwachstellen – beide Hacks setzten das aktive Aufrufen eines manipulierten Links voraus – an Apple und Google gemeldet.

The first was an application exploit. Via Safari, the team were able to steal a Facebook cookie that was then exfiltrated and used to compromise the targeted Facebook account from another machine. In order for the exploit to work, a user would need to click on a link in an email, an SMS, or a web page, so some social engineering would be required to prompt a user to take an action before their credentials could be compromised.

The second was another Safari exploit and it took a little longer due to technical difficulties (we forgot to plug their laptop in). In this case the vulnerability in Safari was exploitable due to issues with the permissions model. Keen Team was able to access photos stored on the device. Again, in order to be successful the affected user would need to click on a link.