26.03.2010, 10:03 Uhr
iPhone und viele Browser innert Kürze gehackt
Beim diesjährigen Hacker-Wettbewerb Pwn2own hat Apples iPhone nur wenige Minuten durchgehalten. Auch alle vertretenen Browser bis auf Google Chrome wurden innerhalb kurzer Zeit gehackt.
Derzeit findet im kanadischen Vancouver die Security-Konferenz CanSecWest statt. Im Rahmen der Veranstaltung wird auch der Hacker-Wettbewerb Pwn2own durchgeführt. In diesem Jahr wurden den ersten Minuten bereits Safari, Firefox und der Internet Explorer sowie das iPhone gehackt.
Im Rahmen des Wettbewerbs demonstrieren Sicherheitsforscher neu entdeckte Security-Lücken und dürfen das gehackte Gerät sowie eine Geldprämie mit nach Hause nehmen. Die Systeme sind mit allen verfügbaren Sicherheits-Updates ausgerüstet. Dazu zählen etwa ein MacBook mit Mac OS X 10.6, drei Windows-Notebooks sowie vier Smartphones, darunter ein iPhone 3GS, ein Blackberry Bold 9700 und ein Nexus One. Insgesamt hat der Sponsor des Wettbewerbs, die 3Com-Tochter TippingPoint, 100'000 US-Dollar an Preisgeldern spendiert - 10'000 für jeden Browser und 15'000 pro Smartphone.
Charlie Miller hat zum dritten Mal in Folge das MacBook gewonnen, wofür er, wie schon im Vorjahr, einen Safari-Exploit benutzt hat. Ein deutscher Student mit dem Vornamen Nils hat Firefox unter Windows 7 gehackt. Sein Safari-Exploit hat ihm hingegen keinen Preis eingebracht, denn Miller war durch Losglück vor ihm an der Reihe.
Vincenzo Iozzo und Ralf Philipp Weinmann, die Newcomer in diesem Jahr, haben mit Hilfe eines Safari-Exploits das iPhone gehackt und sind zudem die Schnellsten gewesen. Auch der Internet Explorer 8 unter Windows 7 ist bereits am ersten Tag gefallen. Der Wettbewerb läuft, mit abgesenkten Hürden, noch zwei weitere Tage. Die benutzten Sicherheitslücken hält TippingPoint unter Verschluss, bis die Hersteller Updates bereit gestellt haben, um sie zu schliessen.
Über die Sicherheit der vertretenen Systeme sagt der Wettbewerb wenig aus. Mit genügend Zeit und Aufwand ist jedes System zu knacken. An Chrome hat sich schlicht niemand versucht. Interessanter ist, wie schnell die Hersteller Sicherheits-Updates bereit stellen. Im letzten Jahr hat Mozilla den Vogel abgeschossen, indem es zwei Firefox-Lücken innerhalb einer Woche schloss.
