pwn2own – iPhone und Mac erfolgreich gehacked

Im Februar habe ich bereits vom diesjährigen pwn2own-Wettbewerb berichtet und nun treffen erste Ergebnisse bzw. Erfolgsmeldungen ein. Sowohl das iPhone als auch der Mac wurden erfolgreich angegriffen.

Der Hacker-Wettbewerb der im Rahmen der CanSecWest Security Conference abgehalten wird, fokussiert sich dieses Jahr vor allem auf Sicherheitslücken in Browsers und die Möglichkeit über diese Zugriff auf das Betriebssystem zu bekommen.

Auch dieses Jahr gelange es dem Sicherheitsexperten Charlie Miller Kontrolle über einen Mac Book Pro erlangen. In nur einer Stunde konnte er mit seinem Payload eine nicht näher genannte Sicherheitslücke ausnutzen und eine Terminal-Session öffnen. Damit hatte er Vollzugriff auf das System und sicherte sich damit das Preisgeld von $5000.

Die Hacker Vincenzo Iozzo und Ralf Philipp Weinmann schafften es über eine Sicherheitslücke in Safari auf Daten des iPhones zuzugreifen und erlangten mit Hilfe dieses Hacks einen umfassenden Zugriff auf die SMS-Datenbank des Gerätes. Damit dürften sie sich auch über bis zu 15000 US-Dollar Preisgeld sowie das gehackte iPhone freuen.

Für die Jailbreak-Community dürfte vor allem die Aussage von Musclenerd interessant werden. Dieser rechnet damit, dass man mit der gefunden Lücke das Gerät sogar wieder jailbreaken könnte. Eine ähnliche Vorgehensweise wurde bereits in den Anfangszeiten des Jailbreaks gemacht und damals reichte es auf die Seite „jailbreakme.com“ zu surfen und über diese Seite wurde der Jailbreak durchgeführt. Ob das Dev-Team diese Lücke aktiv weiterverfolgt ist noch unklar, man könnte sie aber in der Hinterhand behalten. Spätestens mit dem nächsten FW-Update wird sie aber wieder nutzlos sein.

Wie jedes Jahr werden die Sicherheitslücken nicht veröffentlicht sondern von den Initiatoren des Wettbewerbs an die betroffenen Firmen weitergeleitet.