Der Mobile Pwn2Own Wettbewerb zeigt wieder einmal, wie leicht Smartphones geknackt werden können – trotz aller Versuche sie abzusichern und egal auf welcher Plattform. Sowohl ein iPhone 4S als auch ein Samsung Galaxy S3 wurden im Rahmen des Wettbewerbs erfolgreich angegriffen. Während unter iOS der Browser der Angriffspunkt war, könnte der verwendete Schadcode unter Android auch per Mail oder wie demonstriert per NFC eingeschleust werden.
Die gute Nachricht für die iPhone-Benutzer zuerst: Auf dem geknackten iPhone konnte nicht auf die SMS- und die Mail-Datenbank zugegriffen werden, beide waren auch nach dem erfolgreichen Angriff nicht zugänglich und verschlüsselt. Jedoch – und das sind die schlechten Nachrichten – war der Zugriff auf Daten wie das Adressbuch, Fotos, Videos und den Browserverlauf möglich. Und diese Lücke steckt laut den Entdeckern auch noch in der aktuellen Version 6 von iOS und ist sehr einfach durch den Aufruf einer entsprechend manipulierten Website auszunutzen. Es reicht also, das Opfer auf eine solche Seite zu locken, um zumindest an sehr viele der Daten auf einem iPhone zu gelangen.
Android-Benutzer dürfen sich jetzt aber leider auch nicht beruhigt zurücklehnen: Auch das Samsung Galaxy S3 wurde im Wettbewerb gehackt, dazu haben sie zwei Sicherheitslücken in Android 4.0.4 ausgenutzt. Die erste Lücke ermöglicht es, den eigentlichen Schadcode per NFC auf das Smartphone zu laden – was aber nicht zwingend ist, genauso wäre eine Übertragung via Mail oder Browser möglich. Also auch hier würde es reichen das Opfer auf eine entsprechend manipulierte Website zu locken. Die zweite Lücke wird dann genutzt, um dann die Rechte für den Vollzugriff auf das Gerät zu übernehmen (Privilege Escalation). Im Laufe der nächsten Tage soll es weitere Informationen veröffentlicht werden, vor allem die Frage der betroffenen Android-Versionen dürfte interessant sein.
Wieder einmal wurde bewiesen, dass es 100%ige Sicherheit nicht geben kann: Sowohl Google als auch Apple haben in ihre Systeme enorm viele Mechanismen eingebaut, die genau vor solchen Angriffen schützen sollen – aber eben auch dabei Fehler gemacht. Diese werden dann aber eben nicht nur im Rahmen solcher Wettbewerbe und von Jailbreakern genutzt, sondern auch von böswilligen Angreifern. Man sollte also immer und egal auf welcher Plattform Vorsicht im Umgang mit den Geräten und den darauf gespeicherten Daten walten lassen und sich gut überlegen, ob man wirklich alles auf dem Smartphone speichern muss.
Immer auf dem Laufenden bleiben? Dann abonniere unseren RSS-Feed!
