Beim Hackerwettbewerb Mobile Pwn2Own 2017, der diese Woche während der Sicherheitskonferenz PacSec in Tokio stattfand, haben Sicherheitsforscher mehrere Sicherheitslücken in aktuellen Smartphones aufgedeckt. Die Veranstaltung ist Teil von Trend Micros Zero Day Initiative (ZDI). Mit ihr wird die verantwortungsbewusste Aufdeckung als kritisch einzustufender Sicherheitslücken belohnt. Die Entdecker bekommen vergleichsweise hohe Preisgelder, die betroffenen Hersteller 90 Tage Zeit, um Patches auszuliefern. Erst danach werden Details zu den nun entdeckten Lücken veröffentlicht.
Im Rahmen der Veranstaltung ist es dem Tencent Keen Security Lab wiederholt gelungen, Apples iPhone 7 dem aktuellen Mobilbetriebssystem iOS 11.1 zu knacken. Die Sicherheitsforscher nutzten dazu unter anderem eine Schwachstelle in der WLAN-Verbindung. Für den WLAN-Exploit wurden sie mit 60.000 Dollar belohnt, weitere 50.000 Dollar erhielten sie dafür, dass die von ihnen eingeschleuste App auch nach einem Neustart noch auf dem Gerät aktiv sein konnte. Insgesamt nutzten sie vier sicherheitsrelevante Fehler, um Code auszuführen und die Berechtigungen auszuweiten.
Der zweite Angriff auf das iPhone 7 gelang ebenfalls dem Keen Security Lab über Schwachstellen im Safari-Browser und einem Systemdienst. Deren Entdeckung wurde mit 45.000 Dollar honoriert. Auch dabei überstand die eingeschleuste App den Neustart. Für einen weiteren erfolgreichen Angriff über den Safari-Browser erhielt der Sicherheitsforscher “mj0011” eine Prämie von 25.000 Dollar. Die Sicherheitsforschr von 360 Security waren mit ihrer iPhone-7-Attacke nur teilweise erfolgreich und wurden dafür mit 20.000 Dollar belohnt.
Beim Samsung Galaxy S8 konnten Hacker im Rahmen des Wettbewerbs Schwachstellen im Browser sowie im Baseband-Chip erfolgreich ausnutzten. Dieser Angriff lässt sich offenbar auch beim Huawei Mate 9 Pro durchführen. 360 Security bekam 70.000 Dollar für die Entdeckung eines Fehlers in Samsungs Internet-Browser beim Galaxy S8. Der erlaubt es einem Angriefer, Code auszuführen und erhöhte Berechtigungen in einer Samsung-Anwendung zu erlangen.
[mit Material von Bernd Kling, ZDNet.de]
Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Fraunhofer-Forschende arbeiten an einer Webplattform, die die Lebensqualität von Menschen mit Parkinson verbessern soll.
Mit gemeinsamen Angeboten in den Bereichen Vermarktung, KI, Content und Cloud will man "unabhängigen Journalismus…
Bereits seit einigen Jahren führt die RGF Staffing Germany Schulungen durch, um die eigenen Mitarbeiter…
Das Europäische Forschungsprojekt XMANAI hat den Blick in die KI geöffnet und macht ihre Entscheidungsprozesse…
Hacker nutzen LLM weniger als visionäre Alleskönner-Technologien, sondern als effiziente Werkzeuge zum Verbessern von Standardangriffen,…
Der "ARIS AI Companion" soll alle Mitarbeitenden darin befähigen, Prozesse zu analysieren und Ineffizienzen aufzudecken.
