Hacker-Wettbewerb Pwn2Own: Galaxy S9, iPhone X und Xiaomi Mi6 geknackt
Bei Pwn2Own Mobile malträtieren Hacker in Wettbewerbsmanier Smarpthones. Für die gefundenen Lücken schüttete der Veranstalter 325.000 US-Dollar Preisgeld aus.
(Bild: Zero Day Initiative)
Beim diesjährigen Hacker-Wettbewerb Pwn2Own Mobile in Japan haben die Teilnehmer an zwei Tagen insgesamt 18 Zero-Day-Sicherheitslücken entdeckt und ausgenutzt. Dabei haben sie die Smartphones Galaxy S9, iPhone X und Xiaomi Mi6 attackiert und erfolgreich unter ihre Kontrolle gebracht. Apple, Samsung und Xiaomi Tech arbeiten derzeit an Sicherheitsupdates.
Die Zero Day Initiative hat als Belohnung für die Sicherheitsforscher ein Preisgeld in Höhe von 325.000 US-Dollar ausgezahlt. Diese Jahr haben drei Teams teilgenommen. Im Blog des Veranstalters findet man weitere Details zum Wettbewerb.
Smartphone-Attacken
Samsungs Galaxy S9 musste zweimal dran glauben. Zuerst nutzte das Team Fluoroacetate eine Baseband-Lücke erfolgreich aus und konnte durch einen ausgelösten Speicherfehler Schadcode ausführen. Als Zweites schlug MWR Labs von F-Secure zu und kombinierte drei Bugs, um dem S9 via Wi-Fi eine bösartige App unterzujubeln.
Beim iPhone X konnte Fluoroacetate über einen JIT-Fehler im Browser einen Speicherfehler provozieren und letztlich aus der Sandbox ausbrechen und Schadcode ausführen. Mit einem ähnlichen Ansatz konnten sie noch Daten extrahieren. Zwei Attacken gegen das iPhone X schlugen fehl.
Beim Xiaomi Mi6 fruchteten fünf Angriffe. Dabei konnte beispielsweise MWR Labs fünf Bugs kombinieren, um via JavaScript heimlich eine App auf dem Smartphone zu installieren. Fluoroacetate schaffte es, über einen Speicherfehler der JavaScript Engine des Browsers Fotos vom Smartphone abzuziehen.
Gewinner
Am Ende hat das Team Fluoroacetate den diesjährigen Wettbewerb gewonnen. Neben dem Preisgeld dürfen sich die Gewinner auch über die obligatorische Pwn2Own-Jacke freuen. Zusätzlich bekommen sie namensgebend für die Veranstaltung die gehackten Geräte als Preis.
