Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Hack-Wettbewerb: iPhone 7 über Safari-Lücke geknackt

Drei Teilnehmer des Hack-Wettbewerbs Mobile Pwn2Own 2017 konnten ein iPhone 7 mithilfe von Lücken im Mobil-Browser Safari und anderen Systemkomponenten kapern. Das iPhone war mit iOS 11.1 und damit der aktuellen Version von Apples mobilem Betriebssystem ausgestattet. Das Preisgeld für den Hack liegt im sechsstelligen Bereich.


iPhone 7 wird zweimal geknackt
Die für den Hack verantwortlichen Experten von Tencent Keen Security Lab nutzten Schwachstellen in der WiFi-Komponente von iOS und im Safari-Browser, um schädlichen Code auf dem iPhone auszuführen. Keen Security Lab genügten vier Bugs, um die eigene Anwendung inklusive Schadcode auf das iPhone zu laden. Auch nach einem Neustart des Geräts war der Schädling noch vorhanden. Dafür gab es eine Gewinnsumme von 110.000 US-Dollar. Für einen weiteren Hack, der Safari betraf und zwei Bugs zur erfolgreichen Umsetzung benötigte, erhielt Keen Security Lab zusätzliche 45.000 US-Dollar.

Auch Smartphones anderer Hersteller waren auf der Veranstaltung vertreten. Für Exploits des Samsung Galaxy S8 und Huawei Mate 9 kommen Preisgelder von insgesamt 350.000 US-Dollar zusammen.

Event soll Herstellern Sicherheitslücken aufzeigen
Trend Micro veranstaltet das jährliche Pwn2Own-Event, um die eigene Zero-Day-Initiative zu promoten. Tech-Anbieter wie Apple oder Google sollen auf Schwachstellen ihrer Produkte hingewiesen werden. In den letzten Jahren waren immer Apple-Vertreter auf der Pwn2Own anwesend, um sich direkt über hauseigene Sicherheitslücken zu informieren. Ob Apple auch dieses Jahr vor Ort war, ist nicht bekannt.

Trend Micro leitet alle gewonnen Erkenntnisse über Sicherheitslücken an die jeweiligen Hersteller weiter, die im Anschluss 90 Tage Zeit haben, sich um die Lösung der Probleme zu kümmern. Danach werden Details zu den Hacks veröffentlicht.

Kommentare

Hannes Gnad
Hannes Gnad02.11.17 13:55
Tja, dann mal los mit nächsten der 11.2 Beta, die das alles fixt...
+4
marco m.
marco m.02.11.17 15:03
Kein Problem, dann brauche ich ja bloß WLAN zu deaktivieren.
Aber jetzt mal im Ernst. Nach 90 Tagen werden Details veröffentlicht, wie man ein iPhone hackt?
Das wäre ja dann wie die Anstiftung zu einer Straftat. Ich stelle die Mittel, bzw. die Informationen bereit, und Andere dürfen die Tat ausführen.
Chevy Chase: Twenty years ago, we had Steve Jobs, Johnny Cash and Bob Hope. Now we have no jobs, no cash, and no hope. Please, don't let Kevin Bacon die!
-2
Geegah
Geegah02.11.17 16:03
marco m.
Kein Problem, dann brauche ich ja bloß WLAN zu deaktivieren.
Aber jetzt mal im Ernst. Nach 90 Tagen werden Details veröffentlicht, wie man ein iPhone hackt?
Das wäre ja dann wie die Anstiftung zu einer Straftat. Ich stelle die Mittel, bzw. die Informationen bereit, und Andere dürfen die Tat ausführen.

Mal abgesehen davon, dass nur so die Hersteller unter Druck gesetzt werden zeitnah zu reagieren kann man das Ganze aber auch anders herum sehen. So erfährt der gemeine Benutzer wenigstens nach drei Monaten welche bekannten Schwachstellen es gibt und wie er sich gegebenenfalls dagegen schützen kann. Letztes Beispiel: KRACK.
+2
marco m.
marco m.02.11.17 16:25
Von der Seite kann man das natürlich auch sehen, aber in dem Fall ist es genauso, wie man es manchmal im TV sehen kann. Da wird plötzlich gezeigt, wie man ganz einfach Türen und Fenster von Außen öffnen kann, damit es auch noch der letzte Einbrecher mitbekommt. Davon bin ich genauso wenig begeistert. Wenn nur an der Sicherheit Interesse besteht, dann kann man die Ergebnisse auch nur den betroffenen Firmen mitteilen, so, daß die Öffentlichkeit von Anfang an gar nichts erfährt.
Chevy Chase: Twenty years ago, we had Steve Jobs, Johnny Cash and Bob Hope. Now we have no jobs, no cash, and no hope. Please, don't let Kevin Bacon die!
-2
Turbo
Turbo02.11.17 17:13
marco m.
Das wäre ja dann wie die Anstiftung zu einer Straftat. Ich stelle die Mittel, bzw. die Informationen bereit, und Andere dürfen die Tat ausführen.

Das nennt man Beihilfe!
Sei und bleibe höflich!
-1
tommy-lg02.11.17 17:46
Na ja, wäre schön wenn es so einfach wäre. Also wenn die Hersteller auch umgehend reagieren würden, tun sie leider oft nicht.
Als unbedarfter Endverbraucher ist es aber auch gut zu wissen, dass die angepriesene Sicherheit nicht gibt und man nicht alles für bare Münze nehmen darf.
Erneuerbare Energien - Seit wann kann Energie erneuert werden?
+2
marco m.
marco m.02.11.17 18:34
Turbo
Das nennt man Beihilfe!
Oder so!
Chevy Chase: Twenty years ago, we had Steve Jobs, Johnny Cash and Bob Hope. Now we have no jobs, no cash, and no hope. Please, don't let Kevin Bacon die!
-1
Walter Plinge03.11.17 08:29
Mir als Nutzer ist es klar lieber von vorhandenen Sicherheitslücken zu erfahren. Auf diese Weise wiegt man sich zum einen nicht in falscher Sicherheit und kann zum anderen eine bewusste Entscheidung treffen, Produkte zu meiden, deren Hersteller auf veröffentlichte Sicherheitslücken nicht reagieren.
0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.