Galaxy S5, iPhone 5S und Nexus 5 bei Hackerwettbewerb geknackt

MobileSicherheitSmartphone
iPhone 5S (Bild: Apple)

Einem Team aus Südkorea gelang es Schadcode außerhalb der Sandbox von Mobile Safari auszuführen. Auf das Galaxy S5 und das Nexus 5 verschafften sich Experten mittels Angriffen via NFC Zugriff. Außerdme wurden auf der Veranstaltung “Pwn2Own Mobil” in Tokia auch Sicherheitslücken in Windows Phone und Amazons Fire OS gezeigt.

Sicherheitsforscher haben im Rahmen des Hackerwettbewerbs Pwn2Own Mobile in Tokio Schwachstellen in iOS und Android enthüllt. Wie der Veranstalter, HPs Zero Day Initiative mitgeteilt hat, ist es den Experten gelungen, ein iPhone 5S, ein Samsung Galaxy S5 und ein Google Nexus 5 vollständig unter ihre Kontrolle zu bringen. Details zu den gezeigten Sicherheitslücken wurden bereits an die jeweiligen Hersteller weitergeleitet.

Beim Hackerwettbewerb Pwn2Own Mobil wurden Galaxy S5, iPhone 5S und Nexus 5 geknackt (Bild: Apple)

Das aus südkoreanische Hackerteam lokihardt@ASRT verwendete beim iPhone 5S dazu eine Kombination aus zwei Schwachstellen im Browser Safari. Es konnte so auf dem Apple-Smartphone 5S beliebigen Code außerhalb der Sandbox des Browsers ausführen.

Samsungs Galaxy S5 wurde von zwei Teams gehackt, von Japans MBSD und von Mitarbeitern des südafrikanischen Sicherheitsanbieters MWR InfoSecurity. In beiden Fällen verschafften sich die Hacker mittels Near Field Communication (NFC) Zugang zu dem Gerät. Sie nutzten dazu offenbar Fehler aus, die nur in Samsung-Geräten beziehungsweise nur im Galaxy S5 stecken.

Einem Mitarbeiter der britischen Aperture Labs gelang es zudem über zwei weitere NFC-Bugs, eine Bluetooth-Verbindung zu einem LG Nexus 5 zu erzwingen. Drei Schwachstellen im Browser von Amazons Fire OS erlaubten Mitarbeiter von MWR InfoSecurity zudem auch Zugriff auf das Amazon Fire Phone.

Am zweiten Tag des Wettbewerbs zeigten Jüri Aedla und Nico Joly weitere Schwachstellen in Android und Windows Phone. Während Edla ein Nexus 5 per WLAN angriff, präsentierte Joly eine Browserlücke in Windows Phone. Darüber galang es ihm, die Cookie-Datenbank auszulesen. In beiden Fällen war es den Sicherheitsforschern allerdings nicht möglich, die Sandbox des Mobilbetriebssystems zu umgehen. Damit war Windows Phone das einzige geprüfte Mobilbetriebssystem, dessen Sandbox von den Hackern nicht geknackt wurde.

Insgesamt hatte ZDI ein Preisgeld von 425.000 Dollar ausgelobt. Für neuentdeckte Sicherheitslücken in Mobil-Browsern, -Anwendungen und -Betriebssystemen erhielten die Teilnehmer jeweils 50.000 Dollar. Details zu Schwachstellen in Bluetooth, WLAN und NFC wurden jeweils mit 75.000 Dollar belohnt. Für Fehler im Baseband von Apples iPhone, Google Nexus und Blackberrys Z30 waren 150.000 Dollar ausgelobt. Neben iPhone 5S, Nexus 5 und Galaxy S5 standen den Hackern für ihre Angriffe ein iPad Mini mit Retina Display, ein Amazon Fire Phone, ein Blackberry Z30, ein Google Nexus 7 und ein Nokia Lumia 1520 zur Verfügung.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen