Pwn2own 2011

Safari und IE, iPhone 4 und Blackberry Torch gehackt

Beim diesjährigen Hacker-Wettbewerb Pwn2own sind zwei der vier Web-Browser sowie auch zwei von vier Smartphones den Angriffen der Sicherheitsforscher zum Opfer gefallen. Safari und Internet Explorer sind am ersten Tag, iPhone 4 und Blackberry Torch am zweiten Tag gefallen.

Hacker-Wettbewerb Pwn2own

© Frank Ziemann

Hacker-Wettbewerb Pwn2own

Bereits zum fünften Mal findet zurzeit der Hacker-Wettbewerb "Pwn2own" während der Sicherheitskonferenz CanSecWest im kanadischen Vancouver statt. Veranstalter des Wettbewerbs ist die HP-Tochter TippingPoint. Die Teilnehmer können Preisgelder von insgesamt 125.000 US-Dollar sowie Sachpreise gewinnen. Dazu zählt auch das jeweils gehackte Gerät.Es gibt zwei Kategorien: Web-Browser (auf dem PC) und Smartphones. Als Browser sind Google Chrome 9, Mozilla Firefox 3.6, Microsoft Internet Explorer 8 und Safari 5 vertreten. Sie sind auf Notebooks mit den aktualisierten 64-Bit-Versionen von Windows 7 oder Mac OS X 10.6 installiert. Die Smartphones sind das Apple iPhone (iOS 4.2.1), RIM Blackberry Torch 9800 (Blackberry OS 6), Samsung Nexus S (Android) und Dell Venue Pro (Windows Phone 7).Am 8. März, dem ersten Tag des Wettbewerbs, hatte das französische Sicherheitsunternehmen VUPEN durch Losglück die Pole Position bei Safari auf einem Macbook. Chaouki Bekrar hat die Chance genutzt und Safari 5.0.3 mit einem Webkit-Exploit geknackt, der auch noch bei Safari 5.0.4 klappen soll. Dazu reichten wenige Sekunden und der Besuch einer vorbereiteten Web-Seite. Bekrar hat zum Nachweis den Mac-Taschenrechner gestartet und eine eingeschleuste Datei abgelegt.Auch der Internet Explorer 8 ist am selben Tag gefallen. Stephen Fewer aus Irland benötigte allerdings drei bis dahin unbekannte Sicherheitslücken, um die Schutzmechanismen von Windows 7 und IE zu überwinden. Dazu zählt auch der Protected Mode des IE 8, eine Art Sandbox. Auch Fewer hat dann den Taschenrechner aufgerufen und eine Datei abgelegt.Am Donnerstag durfte sich Charlie Miller am iPhone 4 versuchen, der bereits in den letzten drei Jahren mit Safari-Hacks den Wettbewerb gewonnen hatte. Miller und sein Partner Dion Blazakis nutzten eine Lücke in MobileSafari, um das iPhone zu knacken. Die Lücke soll auch noch in iOS 4.3 enthalten sein, das Apple kurz vor dem Beginn des Wettbewerbs heraus gebracht hat. Nur würde es laut Miller größeren Aufwand erfordern sie auszunutzen, da iOS 4.3 neben DEP (Data Execution Prevention) auch durch ASLR (Address Space Layout Randomization) geschützt ist.Das Blackberry Torch von RIM ist einem internationalen Forscher-Trio zum Opfer gefallen. Vincenzo Iozzo, Ralf-Philipp Weinmann und (der nicht angereiste) Willem Pinckaers haben eine Webkit-Lücke im Blackberry-Browser entdeckt und einen Exploit erarbeitet, der sie zum Erfolg geführt hat. Iozzo und Weinmann hatten im Vorjahr das iPhone 3GS mit einem Safari-Exploit gehackt und das Preisgeld eingestrichen.Gegen die Browser Chrome und Firefox ist an den beiden ersten Tagen niemand angetreten. Für Chrome hat es keine Anmeldungen gegeben und die Firefox-Hacker sind nicht erschienen. So ging es auch bei beiden übrigen Smartphones. Chrome ist so seit drei Jahren beim Pwn2own-Wettbewerb unangetastet geblieben - dass niemand angetreten ist, sagt ja auch etwas aus. Ob sich am heutigen dritten Tag noch etwas daran ändert, bleibt abzuwarten. Den Schlußpunkt wird die feierliche Preisverleihung bilden.

Mehr zum Thema

Windows Update: Screenshot
Windows Update jetzt ausführen

Windows Update: Microsoft schließt mit Patch KB3079904 eine kritische Sicherheitslücke, mit der Angreifer ein System komplett übernehmen können.…
Whatsapp-Logo
Abofallen und Gewinnspiele

Erhalten Sie per Whatsapp Werbe-Nachrichten zu Whatsapp Gold, klicken Sie getrost auf Löschen. Dahinter verbergen sich Abofallen und dubiose…
Symbolbild: Sicherheit
Kundenpasswörter im Klartext

Bitdefender-Hack: Der Hacker fordert 15.000 US-Dollar, ansonsten würden Nutzerdaten veröffentlicht. Diese speicherte Bitdefender übrigens im…
Flash-Lücke entdeckt
Schädlinge über Flash-Werbung

Yahoo-Webseiten lieferten vom 28. Juli bis 3. August Malware über Flash-Werbung aus. Das entdeckte das Sicherheitsunternehmen Malwarebytes.
Symbolbild für Internet-Sicherheit und Spionage
Teslacrypt

Die Ransomware "TeslaCrypt" ist ein Trojaner, der vor allem Zockern zu schaffen macht. Savegames werden verschlüsselt, die angeblich erst gegen…