Pwn2Own Tokyo

iPhone X und Galaxy S9 mehrfach gehackt

15.11.2018
Von 
Frank Ziemann war 20 Jahre lang selbstständiger IT-Sicherheitsberater und Übersetzer englischsprachiger Fachartikel. Er ist Gründer des Hoax-Info-Service (http://hoax-info.de) an der TU Berlin, den er seit 1997 betreibt.
Drei Smartphones sind bei einem hoch dotierten Hacker-Wettbewerb geradezu unter die Räder gekommen. Dabei sind 18 neue Sicherheitslücken zum Einsatz gekommen.
IoT-Devices mitaufgenommen: Pwn2Own Tokyo statt Mobile Pwn2Own
IoT-Devices mitaufgenommen: Pwn2Own Tokyo statt Mobile Pwn2Own
Foto: Trend Micro

Bei der diesjährigen Auflage des Hacker-Wettbewerbs Mobile Pwn2Own standen wieder Smartphones im Fokus der Hacker. Der Wettbewerb hat im Rahmen der Sicherheitskonferenz PacSec in Tokio stattgefunden. Der Name wurde auf „Pwn2Own Tokyo“ geändert, da nun auch IoT-Geräte zur Zielscheibe der Hacker werden sollen. Der Pwn2Own im März widmet sich hingegen vor allem den PCs mit Windows, macOS und Linux. Hacker zielen etwa auf die darauf laufenden Browser. Er findet im kanadischen Vancouver im Rahmen der CanSecWest statt. Veranstalter ist jeweils Trend Micros Zero Day Initiative (ZDI).

In diesem Jahr sollten also auch IoT-Geräte gehackt werden, etwa die Apple Watch 3, Amazon Echo oder Google Home. Es hat sich allerdings niemand gefunden, der sich daran versuchen wollte. Bei den Smartphones standen fünf Modelle zur Auswahl, Google Pixel 2 und Huawei P20 fanden jedoch auch keine Interessenten. So blieb es beim iPhone X, dem Samsung Galaxy S9 und dem Xiaomi Mi6. Zur Auswahl standen zudem mehrere Kategorien von Angriffswegen, etwa Nahfunk (NFC, Bluetooth, WLAN), Browser und Baseband. Obwohl letztlich nur drei Teilnehmer (Teams) angetreten sind, wurde eine Menge geboten.

Am ersten Tag des Wettbewerbs waren alle Hacker erfolgreich. Das Team „Fluoroacetate“ (Amat Cama und Richard Zhu) konnten auf dem Xiaomi MI6 via NFC Code einschleusen und ausführen. In der Baseband-Kategorie schafften sie das auch beim Samsung S9, beim iPhone X wählten sie den Weg über das WLAN. Das dreiköpfige Team der MWR Labs konnte das Xiaomi und das Samsung per WLAN dazu bringen, ihren eingeschleusten Code auszuführen. Michael Contreras kaperte das Xiaomi mittels Javascript über den Browser.

Pwn2Own Tokyo 2018
Pwn2Own Tokyo 2018
Foto: Trend Micro

Am zweiten Tag gab es drei Erfolge und zwei Fehlschläge in stetem Wechsel. Das Team Fluoroacetate hackte das iPhone X über den Browser und holte ein gelöschtes Bild wieder hervor. Ein ähnlicher Hack gelang ihnen beim Xiaomi MI6. In der Baseband-Kategorie scheiterten sie jedoch am iPhone X. MWR Labs scheiterten zunächst beim Versuch das iPhone über den Browser zu kapern. Beim Xiaomi gelang ihnen das jedoch. Sie konnten verdeckt eine App installieren und Bilder aus dem Gerät leiten.

Das Fluoroacetate-Team hat den Wettbewerb mit fünf erfolgreichen Hacks klar gewonnen. Sie haben 215.000 US-Dollar gewonnen, einen Pokal und jeder eine „Master of Pwn“-Jacke. Insgesamt hat ZDI 18 0-Day-Lücken für 325.000 Dollar eingekauft und alle Informationen gleich vor Ort an die Hersteller übergeben. Die haben nun 90 Tage Zeit, um die Lücken zu stopfen, bevor ZDI sie veröffentlicht. Abzuwarten bleibt, ob sich im nächsten Jahr auch Teilnehmer finden, die IoT-Geräte hacken wollen.

Alle Ergebnisse des Wettbewerbs sowie die Teilnahmebedingungen finden Sie im ZDI Blog. Schauen Sie dort auch rechtzeitig wieder vorbei, falls Sie selbst teilnehmen möchten. Die CanSecWest 2019 (und damit auch der nächsten Pwn2Own) findet vom 11. bis 13. März in Vancouver statt. (PC-Welt)