bluebit

Smartphones unsicher

Pwn2Own Wettbewerb – Samsung Galaxy S9 und Apple iPhone X gehackt

von Robert Klatt •

Während des Wettbewerbs wurden insgesamt 18 neue Sicherheitslücken entdeckt. Die Teams erhielten dafür 325.000 Dollar Preisgeld.


0 Kommentare

Im Zuge des Hacker-Wettbewerbs Pwn2Own wurden in der Vergangenheit bereits zahlreiche spektakuläre Sicherheitslücken aufgedeckt. Als Teil der Sicherheitskonferenz PacSec vom 13. bis 13. November in Tokio wurden während der Pwn2Own Mobile Wettbewerbs, bei dem ausschließlich mobile Geräte wie Smartphones und Tablets auf Herz und Nieren untersucht werden, insgesamt 18 Zero-Day-Sicherheitslücken gefunden und angewendet. Betroffen sind unteranderem die Smartphones Samsung Galaxy S9, iPhone X und Xiaomi Mi6. Die Hersteller haben angekündigt, dass bereits daran gearbeitet wird die Sicherheitslücken zu schließen.

Veranstaltet wurde der Wettbewerb von der Zero Day Initiative. Die drei teilnehmenden Teams konnten sich über ein Gesamtpreisgeld von 325.000 Dollar freuen.

              

Samsung Galaxy S9 mit zwei Sicherheitslücken

Das Samsung Galaxy S9 wurde von zwei Teilnehmer geknackt. Das Team Fluoroacetate konnte durch das Ausnutzen einer Baseband-Lücke einen Speicherfehler verursachen und so Schadcode ausführen. Anschließend hat es das zu F-Secure gehörende Team MWR Labs geschafft mit einer Kombination von drei Bugs per WLAN Malware auf dem Smartphone auszuführen.

Apple iPhone X nur einmal geknackt

Auch das iPhone X konnte erfolgreich angegriffen werden. Fluoroacetate konnte auch beim Apple Smartphone einen Speicherfehler auslösen, der durch einen JIT-Fehler im Browser verursacht wurde und so Malware auf dem Smartphone starten, die aus der Sandbox ausbrechen konnte. Die Hacker Amat Cama und Richard Zhu konnten so gelöschte Fotos wiederherstellen und auslesen. Die beiden anderen Teams haben es nicht geschafft das iPhone X zu knacken.

Xiaomi Mi6 mit fünf Angriffsvektoren

Am meisten Erfolg hatten die Teams beim Xiaomi Mi6, bei dem fünf erfolgreiche Angriffsmethoden gefunden wurden. MWR Labs nutzte eine Kombination aus fünf Fehlern aus, um Schadcode auf dem Smartphone zu installieren. Fluoroacetate hat auch beim Xiaomi Mi6 durch einen Speicherfehler Fotos stehlen können.

Fluoroacetate als Gewinner

Die Teams erhielten für jeden gefundenen Fehler Punkte. Gewonnen hat am Ende das Team Fluoroacetate, die sich durch ihren Hack des iPhone X einen deutlichen Vorsprung erarbeiten konnten.

0 Kommentare

Kommentar verfassen