Seit Ende 2016 wird Apples MacBook Pro mit der Touch Bar ausgeliefert. Das kleine Display ist im Rahmen des Pwn2Own-Events nun wieder einmal das Ziel der Hacker geworden.

 

Touch Bar

Facts 

Apples Safari-Browser im Fadenkreuz der Entwickler

Das Pwn2Own-Event der Zero Day Initiative fand in diesem Jahr erneut im Rahmen der Sicherheitskonferenz CanSecWest in Vancouver, Kanada, statt. Wie schon im letzten Jahr nahm Samuel Groß von phoenhex erneut am Wettstreit teil und konnte durch gleich drei Fehler eine kurze Nachricht auf Apples Touch Bar hinterlassen (siehe Titelbild). Den Ursprung machte ein Fehler in Safari, über den er einen Weg in macOS und den Kernel finden konnte, um die Touch Bar im MacBook Pro kontrollieren zu können. Für die Fehler konnte Groß 65.000 US-Dollar mit nach Hause nehmen und bekam sechs „Master of Pwn“-Punkte.

Doch Groß war nicht der einzige Hacker, der Apples Browser ins Fadenkreuz nahm. Alex Plaskett, Georgi Geshev und Fabi Beterke vom Team MWR Labs nutzten am zweiten Tag des Events ebenfalls zwei Fehler, um der Sandbox in Apples Browser zu entkommen. Das Team erhielt 55.000 Dollar und fünf Punkte.

Zeitlimit zu kurz für weitere Safari-Hacks

Schon zu Beginn des ersten Tages versuchte Richard Zhu eine ähnliche Strategie. Er schaffte es allerdings nicht, seine gefundenen Fehler im vorgegebenen Zeitlimit von 30 Minuten erfolgreich auszunutzen. Nichtsdestotrotz wurden die Bugs von der Zero Day Initiative entdeckt und an die betroffenen Hersteller mitgeteilt.

Auch Ret2 Systems rund um Nick Burnett, Markus Gaasedelen und Patrick Biernat scheiterte am Zeitlimit. Ziel ihres Angriffs war erneut Safari. Da die gefundenen Fehler an Apple übermittelt werden, dürften die entsprechenden Updates in Kürze für macOS und Safari erscheinen.

Quelle: Pwn2Own Tag 1, Tag 2 via Heise

Holger Eilhard
Holger Eilhard, GIGA-Experte für iPhone, iPad, Mac und alles andere zum Thema Apple.

Ist der Artikel hilfreich?