Mobile Pwn2Own: Hacker knacken Samsung S8 mittels beachtlicher Sicherheitslücken-Combo

Auf dem Mobile-Pwn2Own-Wettbewerb haben Hacker zwei Tage lang mobile Geräte von Apple, Huawei und Samsung erfolgreich attackiert. Der Veranstalter schüttete dafür in der Summe 515.000 US-Dollar aus.

In Pocket speichern vorlesen Druckansicht 59 Kommentare lesen
Mobile Pwn2Own: Hacker knacken Samsung S8 mittels beachtlicher Sicherheitslücken-Combo
Lesezeit: 2 Min.

Am zweiten Tag des Hacking-Wettbewerbs Mobile Pwn2Own sorgte ein Team mit einem verschachtelten Angriff auf Samsungs Galaxy S8 für Furore. Insgesamt haben die Teilnehmer alle im Wettbewerb vertretenen mobilen Geräte mit über insgesamt 32 Sicherheitslücken erfolgreich attackiert, berichtet der Veranstalter Trend Micro. Dabei handelt es sich oft um dauerhafte Hacks, bei denen der Schadcode auch Neustarts überlebt.

Als besonders komplex erwies sich der erfolgreiche Hack des Samsung Galaxy S8. Die Hacker nutzten über sechs Apps verteilt elf Bugs aus, um sich im Smartphone dauerhaft festzusetzen. So konnten sie Schadcode ausführen und Informationen abziehen; das Gerät war kompromittiert. Das brachte dem Team 25.000 US-Dollar ein. Bei diesem Angriff handelt es sich um die längste Sicherheitslücken-Combo in der zehnjährigen Geschichte des Pwn2Own-Wettbewerbs.

Am zweiten Tag des Wettbewerbs haben Hacker das iPhone 7 mit aktuellem iOS 11.1 erneut übers WLAN gekapert. Dabei haben sie einen Bug eingesetzt, den bereits am ersten Tag ein anderes Team ausgenutzt hatte. Das spricht dafür, dass das Geheimhalten von Schwachstellen nicht funktioniert. Im Zweifelsfall muss man immer damit rechnen, dass jemand anderes das gleiche Problem entdeckt. Am ersten Tag brachte der Bug dem Team 110.000 US-Dollar ein – das andere Team kassierte mit dem Ausnutzen der gleichen Lücke 20.000 US-Dollar.

Trend Micro gibt an, alle betroffenen Hersteller unmittelbar über die Lücken informiert zu haben, sodass sie an Patches arbeiten können. Ob bereits Sicherheitsupdates zur Verfügung stehen, ist derzeit nicht bekannt. Von den sechs angetretenen Teams hat Tencent Keen Security Labs mit Abstand gewonnen. Neben dem Preisgeld dürfen sie sich mit der offiziellen Master-of-Pwn-2017-Jacke schmücken.

Insgesamt hat Trend Micro für die erfolgreichen Hacks eigenen Angaben zufolge ein Preisgeld von 515.000 US-Dollar ausgeschüttet. Schaut man sich die Preise für derartige Exploits von über 1 Million US-Dollar auf dem Schwarzmarkt an, sind das natürlich Peanuts.

[UPDATE, 03.11.2017 14:50 Uhr]

Formulierung über Benachrichtigung der Hersteller im Fließtext angepasst. (des)