Hackerwettbewerb in Japan zeigt Anfälligkeiten von iOS 7.0.3 und Samsung Galaxy S4

Hacker haben in Tokio Lücken in zwei Versionen von iOS und dem Smartphone Samsung Galaxy S4 demonstriert. Sie beteiligten sich damit am Wettbewerb Mobile Pwn2Own der Sicherheitskonferenz PacSec Tokyo 2013, der von Hewlett Packards Zero Day Initiative (ZDI) ausgerichtet wird. Ein Gewinner steht noch nicht fest – morgen folgen weitere Beiträge.

Gleich zwei iOS-Exploits zeigte das Keen Team der chinesischen Firma Keen Cloud Tech. Unter iOS 6.1.4 war es ihm möglich, die Cookie-Datenbank des Browsers auszulesen, wenn es den Nutzer auf eine präparierte Webseite lotsen konnte. Ihr entnahmen die Chinesen dann den Facebook-Zugang, den sie gleich auf einem weiteren Rechner nutzten, um sich einzuloggen.

Der zweite Exploit befasste sich mit iOS 7.0.3. Eine Schwachstelle bei den Zugriffsrechten konnte hier ausgenutzt werden, um – wiederum über eine präparierte Webseite – ein auf dem Smartphone gespeichertes Foto auszulesen – ein weiterer Hinweis darauf, dass man mit einem solchen Gerät keine Aktaufnahmen von sich selbst machen sollte. Beide iPhones waren im Originalzustand ohne Jailbreak. Allerdings gelang es den Angreifern nicht, aus der Sandbox von Safari auszubrechen, weshalb ihnen die Juroren ein Preisgeld von „nur“ 27.500 Dollar zusprachen.

Bereitliegende Demogeräte bei Mobile Pwn2Own in Tokio (Bild: HP)

40.000 Dollar erhielt dagegen Team MBSD aus Japan, das die Firma Mitsui Bussan Secure Directions Inc. vertrat. Sein Exploit nutzte eine Reihe von Schwachstellen in Standardprogrammen des Samsung Galaxy S4, um ohne erkennbare Anzeichen eine Malware auf Systemebene zu installieren, wenn der Nutzer eine präparierte Webseite besuchte. Das Schadprogramm beschädigte mehrere Apps und las SMS-Logs ebenso aus wie Kontaktdaten, Lesezeichen und dergleichen mehr. Die Schwachstellen beschränken sich auf das S4; es handelt sich nicht um Android-Lücken.

Apple, Google und Samsung wurden über die Sicherheitslücken informiert. Bis zur Behebung gibt ZDI keine Details heraus.

Für HP Security Research betonte Brian Gorenc, Manager der Zero Day Initiative, das Ziel des Wettbewerbs sei es, Sicherheitsforscher im fernen Osten aus dem Schwarzmarkt und in den legalen Forschungsbereich zu führen. Dazu winken ihnen – wie den genannten Teams – fünfstellige Prämien. Außerdem dürfen sie die für die Demonstration verwendeten Geräte behalten.

[mit Material von Larry Seltzer, ZDNet.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.