Mobile Pwn2Own: Hacker knacken Samsung S8 mittels beachtlicher SicherheitslĂĽcken-Combo
Auf dem Mobile-Pwn2Own-Wettbewerb haben Hacker zwei Tage lang mobile Geräte von Apple, Huawei und Samsung erfolgreich attackiert. Der Veranstalter schüttete dafür in der Summe 515.000 US-Dollar aus.
Am zweiten Tag des Hacking-Wettbewerbs Mobile Pwn2Own sorgte ein Team mit einem verschachtelten Angriff auf Samsungs Galaxy S8 für Furore. Insgesamt haben die Teilnehmer alle im Wettbewerb vertretenen mobilen Geräte mit über insgesamt 32 Sicherheitslücken erfolgreich attackiert, berichtet der Veranstalter Trend Micro. Dabei handelt es sich oft um dauerhafte Hacks, bei denen der Schadcode auch Neustarts überlebt.
Ăśber viele Umwege zum Ziel
Als besonders komplex erwies sich der erfolgreiche Hack des Samsung Galaxy S8. Die Hacker nutzten über sechs Apps verteilt elf Bugs aus, um sich im Smartphone dauerhaft festzusetzen. So konnten sie Schadcode ausführen und Informationen abziehen; das Gerät war kompromittiert. Das brachte dem Team 25.000 US-Dollar ein. Bei diesem Angriff handelt es sich um die längste Sicherheitslücken-Combo in der zehnjährigen Geschichte des Pwn2Own-Wettbewerbs.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmung wird hier ein externes YouTube-Video (Google Ireland Limited) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Google Ireland Limited) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
Am zweiten Tag des Wettbewerbs haben Hacker das iPhone 7 mit aktuellem iOS 11.1 erneut übers WLAN gekapert. Dabei haben sie einen Bug eingesetzt, den bereits am ersten Tag ein anderes Team ausgenutzt hatte. Das spricht dafür, dass das Geheimhalten von Schwachstellen nicht funktioniert. Im Zweifelsfall muss man immer damit rechnen, dass jemand anderes das gleiche Problem entdeckt. Am ersten Tag brachte der Bug dem Team 110.000 US-Dollar ein – das andere Team kassierte mit dem Ausnutzen der gleichen Lücke 20.000 US-Dollar.
"Nur" eine halbe Millionen US-Dollar Preisgeld
Trend Micro gibt an, alle betroffenen Hersteller unmittelbar über die Lücken informiert zu haben, sodass sie an Patches arbeiten können. Ob bereits Sicherheitsupdates zur Verfügung stehen, ist derzeit nicht bekannt. Von den sechs angetretenen Teams hat Tencent Keen Security Labs mit Abstand gewonnen. Neben dem Preisgeld dürfen sie sich mit der offiziellen Master-of-Pwn-2017-Jacke schmücken.
Insgesamt hat Trend Micro fĂĽr die erfolgreichen Hacks eigenen Angaben zufolge ein Preisgeld von 515.000 US-Dollar ausgeschĂĽttet. Schaut man sich die Preise fĂĽr derartige Exploits von ĂĽber 1 Million US-Dollar auf dem Schwarzmarkt an, sind das natĂĽrlich Peanuts.
[UPDATE, 03.11.2017 14:50 Uhr]
Formulierung ĂĽber Benachrichtigung der Hersteller im FlieĂźtext angepasst. (des)
