Pwn2own 2011

Safari und IE, iPhone 4 und Blackberry Torch gehackt

Beim diesjährigen Hacker-Wettbewerb Pwn2own sind zwei der vier Web-Browser sowie auch zwei von vier Smartphones den Angriffen der Sicherheitsforscher zum Opfer gefallen. Safari und Internet Explorer sind am ersten Tag, iPhone 4 und Blackberry Torch am zweiten Tag gefallen.

News
Hacker-Wettbewerb Pwn2own
Hacker-Wettbewerb Pwn2own
© Frank Ziemann

Bereits zum fünften Mal findet zurzeit der Hacker-Wettbewerb "Pwn2own" während der Sicherheitskonferenz CanSecWest im kanadischen Vancouver statt. Veranstalter des Wettbewerbs ist die HP-Tochter TippingPoint. Die Teilnehmer können Preisgelder von insgesamt 125.000 US-Dollar sowie Sachpreise gewinnen. Dazu zählt auch das jeweils gehackte Gerät.Es gibt zwei Kategorien: Web-Browser (auf dem PC) und Smartphones. Als Browser sind Google Chrome 9, Mozilla Firefox 3.6, Microsoft Internet Explorer 8 und Safari 5 vertreten. Sie sind auf Notebooks mit den aktualisierten 64-Bit-Versionen von Windows 7 oder Mac OS X 10.6 installiert. Die Smartphones sind das Apple iPhone (iOS 4.2.1), RIM Blackberry Torch 9800 (Blackberry OS 6), Samsung Nexus S (Android) und Dell Venue Pro (Windows Phone 7).Am 8. März, dem ersten Tag des Wettbewerbs, hatte das französische Sicherheitsunternehmen VUPEN durch Losglück die Pole Position bei Safari auf einem Macbook. Chaouki Bekrar hat die Chance genutzt und Safari 5.0.3 mit einem Webkit-Exploit geknackt, der auch noch bei Safari 5.0.4 klappen soll. Dazu reichten wenige Sekunden und der Besuch einer vorbereiteten Web-Seite. Bekrar hat zum Nachweis den Mac-Taschenrechner gestartet und eine eingeschleuste Datei abgelegt.Auch der Internet Explorer 8 ist am selben Tag gefallen. Stephen Fewer aus Irland benötigte allerdings drei bis dahin unbekannte Sicherheitslücken, um die Schutzmechanismen von Windows 7 und IE zu überwinden. Dazu zählt auch der Protected Mode des IE 8, eine Art Sandbox. Auch Fewer hat dann den Taschenrechner aufgerufen und eine Datei abgelegt.Am Donnerstag durfte sich Charlie Miller am iPhone 4 versuchen, der bereits in den letzten drei Jahren mit Safari-Hacks den Wettbewerb gewonnen hatte. Miller und sein Partner Dion Blazakis nutzten eine Lücke in MobileSafari, um das iPhone zu knacken. Die Lücke soll auch noch in iOS 4.3 enthalten sein, das Apple kurz vor dem Beginn des Wettbewerbs heraus gebracht hat. Nur würde es laut Miller größeren Aufwand erfordern sie auszunutzen, da iOS 4.3 neben DEP (Data Execution Prevention) auch durch ASLR (Address Space Layout Randomization) geschützt ist.Das Blackberry Torch von RIM ist einem internationalen Forscher-Trio zum Opfer gefallen. Vincenzo Iozzo, Ralf-Philipp Weinmann und (der nicht angereiste) Willem Pinckaers haben eine Webkit-Lücke im Blackberry-Browser entdeckt und einen Exploit erarbeitet, der sie zum Erfolg geführt hat. Iozzo und Weinmann hatten im Vorjahr das iPhone 3GS mit einem Safari-Exploit gehackt und das Preisgeld eingestrichen.Gegen die Browser Chrome und Firefox ist an den beiden ersten Tagen niemand angetreten. Für Chrome hat es keine Anmeldungen gegeben und die Firefox-Hacker sind nicht erschienen. So ging es auch bei beiden übrigen Smartphones. Chrome ist so seit drei Jahren beim Pwn2own-Wettbewerb unangetastet geblieben - dass niemand angetreten ist, sagt ja auch etwas aus. Ob sich am heutigen dritten Tag noch etwas daran ändert, bleibt abzuwarten. Den Schlußpunkt wird die feierliche Preisverleihung bilden.

11.3.2011 von Frank Ziemann

Weiter zur Startseite  

Mehr zum Thema

Das Hasso-Plattner-Institut bietet einen Sicherheits-Test an.

Millionen gestohlene Datensätze

HPI-Test: Eigene E-Mail-Adresse auf Identitätsklau testen

Mit seiner E-Mail-Adresse kann man beim Hasso-Plattner-Institut testen lassen, ob eigene Daten Hackern zum Opfer gefallen sind und im Internet…

WhatsApp

Abmahnungen können drohen

Whatsapp-Kerze: Corona sorgt für Kettenbrief-Comeback nach 5…

Ein Whatsapp-Kettenbrief mit dem Foto einer Kerze taucht nach mehr als fünf Jahren wieder auf. Statt Solidarität für Corona-Patienten drohen…

Windows Update: Screenshot

Windows Update jetzt ausführen

Microsoft veröffentlicht Notfall-Patch - auch für Windows 10

Windows Update: Microsoft schließt mit Patch KB3079904 eine kritische Sicherheitslücke, mit der Angreifer ein System komplett übernehmen können. Der…

Flash-Lücke entdeckt

Schädlinge über Flash-Werbung

Yahoo-Webseiten lieferten fast eine Woche lang Malware aus

Yahoo-Webseiten lieferten vom 28. Juli bis 3. August Malware über Flash-Werbung aus. Das entdeckte das Sicherheitsunternehmen Malwarebytes.

Symbolbild für Internet-Sicherheit und Spionage

Teslacrypt

Erpresser-Trojaner hat es auf Spielstände abgesehen

Die Ransomware "TeslaCrypt" ist ein Trojaner, der vor allem Zockern zu schaffen macht. Savegames werden verschlüsselt, die angeblich erst gegen…