Wettbewerb "Pwn2Own" Hacker finden Sicherheitslücken in populären Smartphones

Das hat sich gelohnt: Bei einem Wettkampf in Tokio hat ein Hacker-Duo mehrere Schwachstellen in populären Smartphones von Apple, Samsung und Xiaomi entdeckt - und so ein sechsstelliges Preisgeld verdient.

Smartphones
REUTERS

Smartphones


Hackerwettbewerbe können für Sicherheitsexperten lukrative Einnahmequellen sein. So haben sich die Hacker Richard Zhu und Amat Cama, die gemeinsam unter dem Pseudonym "Fluoroacetate" auftreten, auf der Veranstaltung Pwn2Own in Tokio gerade mit einem interessanten Hack ein üppiges Preisgeld verdient.

Die Programmierer hatten eine Sicherheitslücke im Apple-Browser Safari entdeckt, die es ihnen ermöglicht, unerlaubt via WLAN Daten von einem fremden iPhone zu kopieren. In ihrem Beispiel war dies ein vom Anwender bereits gelöschtes Foto. Möglich war das unter anderem, weil Fotos beim Löschen in iOS nur in eine Art Papierkorb verschoben und erst nach einigen Wochen wirklich gelöscht werden.

Dass die beiden Hacker ausgerechnet ein Foto kopierten, hatte aber einen ganz pragmatischen Grund: Es war schlicht und einfach die erste Datei, die sie auf dem fremden iPhone gefunden hatten. Theoretisch hätten sie auch auf andere Dateien zugreifen können. Zwei weitere Versuche, im Rahmen des Wettbewerbs Schwachstellen in iPhones zu finden und auszunutzen, schlugen fehl.

Samsung Galaxy S9 und Xiaomi Mi6 offenbaren ebenso Lücken

Mit anderen Tricks gelang es Hackern, auch die Sicherheitsmaßnahmen anderer Smartphones zu überwinden. So schaffen es wiederum Richard Zhu und Amat Cama, Schadcode auf einem Samsung Galaxy S9 auszuführen. Auch ein Xiaomi Mi6 kontrollierten die beiden Hacker über die NFC-Schnittstelle und zwangen das Telefon, den Browser zu öffnen und gezielt eine bestimmte Webseite aufzurufen.

Insgesamt konnten Hacker während des Wettbewerbs erfolgreich diverse Schwachstellen in verschiedenen Smartphones finden und ausnutzen. Am stärksten wurde das Xiaomi Mi6 getroffen, auf das fünf erfolgreiche Attacken durchgeführt wurden. Den Regeln des Wettbewerbs folgend, wurden die Hersteller über die Sicherheitslücken informiert und werden nun daran arbeiten, diese per Update zu schließen.

Für das Hackerduo "Fluoroacetate" hat sich die Teilnahme am Wettbewerb jedenfalls gelohnt. Mit ihren Vorführungen sicherten sie sich nicht nur den Gesamtsieg und den Titel "Master of Pwn", sondern kassierten zusätzlich Preisgelder in Höhe von insgesamt 215.000 Dollar.

jbr/mak



zum Forum...
Sagen Sie Ihre Meinung!

© SPIEGEL ONLINE 2018
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.