Drei Teilnehmer des Hack-Wettbewerbs Mobile Pwn2Own 2017 konnten ein iPhone 7 mithilfe von Lücken im Mobil-Browser Safari und anderen Systemkomponenten kapern. Das iPhone war mit iOS 11.1 und damit der aktuellen Version von Apples mobilem Betriebssystem ausgestattet. Das Preisgeld für den Hack liegt im sechsstelligen Bereich.


iPhone 7 wird zweimal geknackt
Die für den Hack verantwortlichen Experten von Tencent Keen Security Lab nutzten Schwachstellen in der WiFi-Komponente von iOS und im Safari-Browser, um schädlichen Code auf dem iPhone auszuführen. Keen Security Lab genügten vier Bugs, um die eigene Anwendung inklusive Schadcode auf das iPhone zu laden. Auch nach einem Neustart des Geräts war der Schädling noch vorhanden. Dafür gab es eine Gewinnsumme von 110.000 US-Dollar. Für einen weiteren Hack, der Safari betraf und zwei Bugs zur erfolgreichen Umsetzung benötigte, erhielt Keen Security Lab zusätzliche 45.000 US-Dollar.

Auch Smartphones anderer Hersteller waren auf der Veranstaltung vertreten. Für Exploits des Samsung Galaxy S8 und Huawei Mate 9 kommen Preisgelder von insgesamt 350.000 US-Dollar zusammen.

Event soll Herstellern Sicherheitslücken aufzeigen
Trend Micro veranstaltet das jährliche Pwn2Own-Event, um die eigene Zero-Day-Initiative zu promoten. Tech-Anbieter wie Apple oder Google sollen auf Schwachstellen ihrer Produkte hingewiesen werden. In den letzten Jahren waren immer Apple-Vertreter auf der Pwn2Own anwesend, um sich direkt über hauseigene Sicherheitslücken zu informieren. Ob Apple auch dieses Jahr vor Ort war, ist nicht bekannt.

Trend Micro leitet alle gewonnen Erkenntnisse über Sicherheitslücken an die jeweiligen Hersteller weiter, die im Anschluss 90 Tage Zeit haben, sich um die Lösung der Probleme zu kümmern. Danach werden Details zu den Hacks veröffentlicht.