iPhone 4S und Samsung Galaxy S3: Sicherheitslücken entdeckt

von

Man könnte schon etwas paranoid werden. Auf dem Mobile Pwn2Own Wettbewerb sammeln sich Hacker/Entwickler und veranstalten einen von Firmen unterstützten Contest zum Auffinden schwerwiegender Bugs oder Sicherheitslücken. Bisher konnten mit mehr oder weniger Aufwand das iPhone 4S und das Galaxy S3 geknackt werden.

iPhone 4S und Samsung Galaxy S3: Sicherheitslücken entdeckt

Eins vorweg, das iPhone ist trotz Sicherheitslücke das sicherste Smartphone, das es bisher auf dem Markt gibt. Dank Sandbox, ASLR und DEP ist es ein weitaus schwierigeres Unterfangen iOS und Android zu hacken, als z.B. ein Blackberry. Trotzdem kann das gut geschützte iPhone mit dem aufrufen einer einfachen Website infiziert werden. Joost Pol (CEO des Sicherheitsunternehmens Certified Secure) und Daan Keuper haben eine “Zero-Day-Lücke” im WebKit entdeckt.

Diese Schwachstelle befindet sich auch noch in iOS 6 und betrifft damit ebenfalls das iPhone 5, iPad und iPod Touch. Mit einem selbst geschriebenen Exploit konnte die Safari-Sandbox und die vorgegebene Code-Signierung umgangen werden. Damit lassen sich Daten wie Browserverlauf, Adressbuch, Fotos und Videos auslesen. Für das Finden der Lücke haben sich die Jungs ein Preisgeld von 30.000 $ verdient.

iPhone Hack

Das Samsung Galaxy S3 kam dagegen nicht so gut weg. Unser aller Freund “NFC” ist eben noch lange nicht so sicher, wie wir es uns wünschen. Zwei Sicherheitslücken in Android 4.0.4 bringen die Hacker direkt in zwei Schritten auf’s Smartphone. Via NFC wird der eigene Exploit ins Smartphone geschleust und ausgeführt, damit konnte (nicht zum ersten Mal) die Lücke “Privilege Escalation” ausgenutzt werden.

Allerdings lässt sich auch über eine E-Mail oder eine Website der Schadcode übertragen, NFC wäre also kein ausschlaggebener Grund zur Besorgnis. Der Schadcode der Programmierer heißt “Payload“ und wurde vorher sehr aufwändig erstellt. Damit lässt sich aber quasi auch alles mit dem Galaxy S3 machen. Google, da besteht Handlungsbedarf!

Die Einzelheiten dieser Lücken werden von den teilnehmenden Firmen natürlich den Unternehmen offenbart, damit diese geschlossen werden können. Dennoch sollten wir uns der Tatsache bewusst werden, dass unsere empfindlichsten Datenträger unsere Smartphones sind. Kurzlinks von Unbekannten sollten nicht auf dem Smartphone geöffnet werden und NFC bitte immer deaktiv lassen, bis ihr es aktiv nutzen wollt.

 

Update

Vielen Dank an User Slashy, der sich mit der Materie noch ein gutes Stück besser auskennt als ich. Der Text ist mittlerweile angepasst. Mit “Sandbox, ASLR und DEP” sollten eigentlich ausreichen Sicherheitsmechanismen vorhanden sein, diese sind aber wohl nicht fehlerfrei implementiert worden. Payload ist zudem ein Begriff über Angriffe auf Sicherheitslücken in einem Programm bzw. direkt ein Virus. Wikipedia sei Dank, kann man sich bei Interesse gern dort weiterbilden.

 

Quelle: ZDNET via Mobilegeeks via Tech-Blog
Bild: Techblog

Display beim iPhone kaputt? Kein Problem: Reparier es selbst mit dem GIGA & Fixxoo DIY-Set für die iPhone Display-Reparatur - schnell, einfach und preiswert!

Samsung Galaxy S3

Weitere Themen: iPod touch 2014, iPad 3, iPad 1, iPad 2, iPhone 4s, iPhone 4, Samsung Galaxy S3, Samsung


Kommentare zu diesem Artikel

Neue Artikel von GIGA ANDROID

Anzeige
GIGA Marktplatz