Hacker brechen in uralte Browser-Engine der PS4 ein
Seit zwei Jahren ist ein Sicherheitsloch der WebKit-Engine bekannt, die auch der Browser der PS4 von Sony verwendet. Jetzt konnten Hacker diese Lücke für erste Einbruchsversuche nutzen.
(Bild: dpa, Sony)
Nach dem massiven Einbruch in das Playstation Network, bei dem Datendiebe im April 2011 mehr als 100 Millionen Kundendaten stehlen konnten, hatte Sony die Datensicherheit zur Chefsache erklärt und umfangreiche Sicherheits-Reformen angekündigt. Doch offenbar regiert bei den Japanern noch immer der Schlendrian. Anders ist es kaum zu erklären, dass es einigen Hackern nun offenbar gelungen ist, über den Browser der Playstation 4 auf Speicherbereiche der Spielkonsole zuzugreifen, die für sie eigentlich tabu sein sollten. Auf der Seite wololo.net veröffentlichten Hacker Code für eine Web-Seite, der – wenn man die Seiten mit dem Browser einer PS4 aufruft – statt einer Fehlermeldung kryptische Zahlen ausspuckt.
Für die Hacker ist dies der Beweis, dass sie auf eigentlich unzugängliche Speicherbereiche zugreifen können. Es sei – wie zuvor der Versuch, über die Java-Engine des Blu-ray-Players einzubrechen – ein "Proof of Concept", mit dem sie nach weiteren Sicherheitslücken suchen wollen. Der Hack brachte wololo.net immerhin so viel Aufmerksamkeit, dass sie die Web-Seiten zum Prüfen des PS4-Hacks inzwischen deaktivieren mussten.
Dieser Angriff ist allerdings nur möglich, weil der PS4-Browser offenbar eine völlig veraltete WebKit-Engine verwendet. Das Sicherheitsloch, bei dem die Hacker ansetzten, ist nämlich ein Fehler in einer Array-Sortierfunktion, die unter dem Namen Remote Code Execution Vulnerability (CVE-2012-3748) bereits seit September 2012 bekannt ist und von Apple im Security Update von iOS 6.0.1 im November 2012 gepatcht wurde. Die alten verwundbaren Browser (darunter der der PS4 mit der Firmware 1.76) sind unter der Header-Kennung "AppleWebKit/536.26" zu identifizieren.
Unabhängig davon, ob der neue PS4-Hack nun eine Hintertür in die PS4 aufstößt oder nicht, offenbart der Angriff eine erschreckende Sorglosigkeit, mit der Sony mit bekannten Sicherheitslöchern seiner Konsolen umgeht (die Mobil-Variante PS Vita ist ebenfalls betroffen). Denn auch wenn zahlreiche Spieler es kaum abwarten können, illegal kopierte Spiele auf der PS4 zu starten, bringen solche Sicherheitslöcher auch immer Einfallstore für Datendiebe mit, die auf Account- und Kreditkartendaten aus sind. Wer würde wohl einer Firma seine Bankdaten anvertrauen, die in ihrem System bekannte Sicherheitsprobleme zwei Jahre lang nicht behebt?
Den Tipp verschiedener Hacking-Seiten, in Hoffnung auf bald kostenlos raubkopierte Spiele lieber auf Firmware-Updates seiner Konsole zu verzichten, kann man da nur als weltfremd bezeichnen. Längst geht es bei Spielkonsolen nicht mehr um die Hardware (die ist kaum mehr als ein mittelklasse PC), sondern um die Online-Dienste inklusive ihrer Download-Abos. Wer eine neue Firmware der PS4 nicht einspielt, kann seine Konsole nicht mehr im PSN nutzen und beraubt sie damit eines Großteils der verfügbaren Unterhaltungsangebote. Am morgigen Dienstag will Sony übrigens eine neue PS4-Firmware 2.0 veröffentlichen. Vielleicht stopft die dann ja endlich das uralte Loch.
(hag)
