Android und iPhone beim Mobile Pwn2Own gefällt

Alle drei großen Mobil-Betriebssysteme sind bei der diesjährigen Mobile-Ausgabe von HPs Pwn2Own-Wettbewerb erfolgreichen Hacks zum Opfer gefallen. Der Angriff auf Windows Phone ist dabei allerdings im Vergleich noch eher harmlos.

In Pocket speichern vorlesen Druckansicht 136 Kommentare lesen
Forscher beim Mobile Pwn2Own

Forscher Adam Laurie gelang es, das Nexus 5 über NFC zu knacken.

(Bild: HP Security Research Blog)

Lesezeit: 2 Min.
Von
  • Fabian A. Scherschel

Bei der Mobile-Ausgabe von HPs Pwn2Own-Wettbewerb sind die zwei Platzhirsche unter den Mobilbetriebssystemen, Android und iOS, aber auch Windows Phone erfolgreich angegriffen worden. Sowohl das Galaxy S5 von Samsung als auch Googles Nexus 5 konnten über Near Field Communication (NFC) angegriffen werden. Beim Nexus 5 ließ sich so eine Bluetooth-Verbindung zwischen zwei Geräten erzwingen. Amazons Fire Phone wurde dagegen auf klassische Weise über den eingebauten Web-Browser angegriffen und übernommen.

Die gravierendsten Lücken betreffen aber wohl iOS. Durch Bugs im Safari-Browser auf Apples iPhone 5S gelang es Hackern, aus der Sandbox-Umgebung der App auszubrechen. Das öffnet Tür und Tor, beliebigen Schadcode auf den Geräten auszuführen.

Beim Angriff auf den Browser auf Nokias Lumia 1520 konnte ein Sicherheitsforscher zwar die Cookie-Datenbank auslesen, die Sandbox des Browsers blieb allerdings intakt. Dem Sicherheitsforscher blieb damit der volle Zugriff auf das Smartphone verwehrt. Wie auch bei vorherigen Pwn2Own-Wettbewerben üblich, werden die Details zu den Angriffen von HPs Zero Day Initiative unter Verschluß gehalten, bis die Hersteller die entsprechenden Lücken geschlossen und Updates verteilt haben.

Wettbewerbe wie der Mobile Pwn2Own machen immer wieder deutlich, dass auch Smartphones einer Vielzahl von Sicherheitsproblemen zum Opfer fallen. Besonders im Firmenumfeld stellt das Absichern dieser Geräte deswegen eine nicht zu unterschätzende Herausforderung dar. Konkrete Lösungsansätze zu diesem Thema bietet das heise Security Webinar Apps im Griff am 20. November. (fab)