Hacker-Wettbewerb: iPhone übersteht „pwn2own“ nicht unbeschadet – Firmware-Update demnächst

Der pwn2own-Wettbewerb ist seit Jahren ein fester Bestandteil der CanSecWest Security Conference und fordert die an ihm teilnehmenden Hacker regelmäßig dazu auf Schwachstellen in Browsern und Betriebssystemen zu finden und diese auszunutzen. Fähigen Köpfen denen es gelingt verschiedene Rechner bzw. die auf ihnen installierten Browser zu hacken bekommen $5000 Preisgeld – für Sicherheitslücken im iPhone bzw. in MobileSafari wurden bis zu $15.000 ausgelobt.

In Sachen Safari konnte sich der Sicherheitsexperte Charlie Miller auch auf dem diesjährigen pwn2own-Wettbewerb wieder einen Namen machen. Bereits in den letzten zwei Jahren mit erfolgreichen Browser-Hacks vertreten, konnte Miller vor knapp einer Stunde den Vollzugriff auf das OS X Terminal eines entfernten Rechners für sich verbuchen.

Vincenzo Iozzo und Ralf Philipp Weinmann widmeten sich dem iPhone und erlangten – ohne physikalischen Zugriff auf das Gerät; und ohne den Einsatz eines Jailbreaks – Zugriff auf die SMS-Datenbank des iPhones.

Laut Aussagen des iPhone DEV-Teams könnte der von Iozzo und Weinmann eingesetzte Code, auch zum Browser-basierten Jailbreak genutzt werden (wir erinnern uns an den Oktober 2007). Eine Veröffentlichung der Schwachstellen ist jedoch nicht vor dem nächsten iPhone-Softwareupdate zu erwarten. Traditionell werden die auf die CanSecWest Security Conference gefundenen Sicherheitslücken zuerst an die Hersteller der betroffenen Geräte weitergereicht und landen erst Wochen später im Netz. Kurzum: Das nächste iPhone-Update dürfte nicht mehr lange auf sich warten lassen.