Pwn2Own, die zweite: iPhone und Blackberry gehackt
Eine Lücke in MobileSafari ermöglichte den Zugriff auf das Adressbuch. Das Blackberry war schwerer zu kapern, allerdings nicht wegen besonderer Sicherheitsvorkehrungen.
- Daniel Bachfeld
Am zweiten Tag des Wettbewerbs Pwn2Own ging es dem iPhone und Blackberry an den Kragen. Charlie Miller nutzte ein Lücke in MobileSafari unter iOS 4.2.1, um das Adressbuch beim Aufruf einer manipulierten Webseite zu löschen. Der erste Versuch ging allerdings schief und der Browser stürzte nur ab. Der zweite Versuch brachte dann das gewünschte Ergebnis und 15.000 US-Dollar sowie das iPhone. Schutzenhilfe leistete Millers Kollege Dion Blazakis.
Um die Datenausführunsgsverhinderung auf dem iPhone auszutricksen, nutzte Miller Return-Oriented-Programming (ROP), bei der auf dem Stack selbst kein Code landet, sondern nur Adressen zum Aufruf bereits geladener Codefragmente. Laut Miller funktioniert sein Exploit aber auf der gerade veröffentlichten iOS-Version 4.3 nicht mehr, weil Apple darin erstmals Adress Space Layout Randomization (ASLR) eingeführt hat. Damit werden Bibliotheken an zufällige Adresse geladen, womit auch ROP nicht mehr ohne weitere Tricks funktioniert. Die von Miller ausgenutzte Lücke ist aber auch in iOS 4.3 weiterhin vorhanden.
Für den Hack eines BlackBerry Torch 9800 bedurfte es eines dreiköpfigen Teams. Das lag allerdings nicht an den zu überwindenden Sicherheitshürden – die gibt es beim Blackberry nämlich nicht –, sondern an fehlenden, öffentlich zugänglichen Dokumentationen über das System und fehlenden Werkzeugen. So mussten sich Vincenzo Iozzo, Willem Pinckaers und Ralf Philipp Weinmann quasi zu Fuß und per "Trial and Error" durch das System hangeln.
Letztlich gelang es ihnen aber durch Ausnutzung vieler Schwachstellen eine Lücke in dem auf WebKit beruhenden Browser auszunutzen – RIM hatte diesen erst kürzlich in Blackberry eingeführt. Zwar war zum Gewinn des Wettbewerbs nur der Zugriff auf das Adressbuch gefordert, das Team demonstrierte aber zusätzlich, wie sich eine Datei in das Filesystem schreiben lässt.
Neben den mobilen Geräten stand eigentlich auch der Angriff auf den Firefox-Browser auf dem Programm. Die gemeldeten Teilnehmer traten jedoch nicht an, ähnlich wie am ersten Wettbewerbstag bei Chrome. (dab)