Pwn2Own: Sicherheitslücke in Safari gibt gelöschte Fotos auf iPhone X preis

Beim diesjährigen Hackerwettbewerb Pwn2Own Mobile, der gestern in der japanischen Hauptstadt Tokio zu Ende gegangen ist, haben Sicherheitsforscher zwei Schwachstellen im Apple-Browser Safari auf einem iPhone X demonstriert. Die Bugs erlaubten es ihnen, ein gelöschtes Foto wiederherzustellen und zu stehlen.

Vorgeführt wurde der Angriff von Amat Cama und Richard Zhu, die sich selbst Fluoroacetate nennen. Sie kombinierten laut Trend Micros Zero Day Initiative, die den jährlichen Wettbewerb veranstaltet, eine Lücke im Just-in-Time-Compiler des Browsers mit einem Out-of-Bounds-Speicherfehler. Die Attacke erlaubt es, Daten auszulesen.

Die Vorführung brachte den beiden Forschern 50.000 Dollar und acht sogenannte Master-of-Pwn-Punkte ein, anhand derer der Veranstalter einen Sieger des Wettbewerbs ermittelt. Aufgrund weiterer erfolgreicher Angriffe sicherten sich Cama und Zhu diesen Titel mit insgesamt 45 Punkten.

Auch am ersten Tag nutzte das Duo einen Bug im JIT-Compiler zusammen mit einem Out-of-Bounds-Speicherzugriff, um Schadcode auf einem iPhone X einzuschleusen und auszuführen. Dafür erhielten sie 60.000 Dollar und 10 Punkte. Am gestrigen zweiten Tag kam ein Integer-Überlauf in der JavaScript-Engine des Xiaomi-Browsers hinzu. Auch in diesem Fall erhielten sie Zugriff auf gespeicherte Fotos, was mit 25.000 Dollar und sechs Punkten belohnt wurde.

Den Wettbewerb hatten Fluoroacetate indes mit einer Schwachstelle in der NFC-Funktion eines Xiaomi Mi6 eröffnet. Per Nahfunktechnik brachten sie das Smartphone dazu, eine von ihnen vorgegebene schädliche Website zu öffnen. Ein weiterer Bug in WebAssembly erlaubte schließlich eine Remotecodeausführung, was den beiden Forschern die ersten 30.000 Dollar und sechs Punkte einbrachte.

Ebenfalls am ersten Tag knackten sie die Baseband-Komponente eines Samsung Galaxy S9. Ein Heap-Überlauf führte ebenfalls zum Einschleusen von Schadcode. Für einen solchen Bug hatte Trend Micro im Vorfeld 50.000 Dollar und 15 Punkte ausgelobt.

Insgesamt verteilte die Zero Day Initiative 325.000 Dollar an die Teilnehmer, die erfolgreiche Angriffe vorführten. Davon gingen 215.000 Dollar alleine an die Forscher Cama und Zhu. Außerdem wurden während des Wettbewerbs insgesamt 18 Zero-Day-Lücken enthüllt.