Zwei Tage lang demonstrierten Hacker in Seoul auf dem „PwnFest“ diverse Schwachstellen verbreiteter Software, darunter der Browser Edge und Safari. Auch VMWare Workstations und das Google Pixel wurden geknackt.

Im Rahmen des Hacker-Events „PwnFest 2016“ haben Teilnehmer am vergangenen Donnerstag jeweils gleich zweimal Sicherheitsprobleme bei Microsoft Edge unter Windows 10 (Red Stone 1) und von VMWare Workstation 12.5.1 demonstriert. Am Freitag knackte ein chinesisches Hacker-Team dann auch Googles Smartphone Pixel mit Android 7/Nougat und zeigten Sicherheitslücken in Apples Browser Safari unter macOS Sierra auf. Das zweitägige Hackerfestival PwnFest fand im Rahmen der „Power of Community“-Sicherheitskonferenz in Seoul statt.

Einem Team der Pekinger Sicherheitsfirma Quihoo 360 sowie einem Hacker aus Südkorea, der sich „Lokihardt“ nennt, gelang es unabhängig voneinander, Schadcode in Microsoft Edge einzuschleusen und auf Systemebene auszuführen. Sie erhielten jeweils 140.000 US-Dollar Prämie für ihre Vorstellung. Das Qihoo-Team musste seinen Beitrag allerdings kurzfristig innerhalb von 30 Stunden überarbeiten, nachdem drei der vier entdeckten Sicherheitslücken im Explorer-Nachfolger Edge unmittelbar vor Beginn der Veranstaltung vom Hersteller behoben worden waren, berichtet The Register. Microsoft hatte am Donnerstag Patches eingespielt, die einen Teil der Lücken stopften.

Pixel schon zum zweiten Mal geknackt
Welche Software sich die Hacker vornehmen sollten, hatten die Veranstalter des PwnFest im Vorfeld festgelegt.

Welche Software sich die Hacker vornehmen sollten, hatten die Veranstalter des PwnFest im Vorfeld festgelegt.

Auch der Wettbewerbsbeitrag zum Google Pixel stammte von Hackern aus China. Ihnen war es gelungen, Schadcode in das Android-System des Smartphones einzuschleusen. Bei der Vorführung rief dieser zunächst den Play Store auf und öffnete dann Chrome, um eine Webseite mit der Nachricht „Pwned By 360 Alpha Team“ anzuzeigen. Es war bereits die zweite Aufdeckung einer Sicherheitslücke beim Pixel. Den erste, bisher noch nicht behobenen Zero-Day-Exploit demonstrierte ein Team vom Keen Security Lab in Japan auf dem „Mobile Pwn2Own“-Event. Dort hatten Hacker außerdem unter Verwendung der auch in Seoul aufgezeigten Sicherheitslücken vorgeführt, wie sämtliche Bereiche des Mobilgeräts von Kontakten über Fotos und Nachrichten bis zu Telefonaten betroffen sind.

Die „Power of Community“-Sicherheitskonferenz, zu deren Sponsoren auch Microsoft zählt, findet seit 2006 einmal pro Jahr an wechselnden Orten statt. Das PwnFest ist Teil der Veranstaltung. Die dort aufgezeigten Sicherheitslücken aktueller Software werden nicht im Detail veröffentlicht, da der jeweilige Hersteller zunächst die Gelegenheit haben soll, die Probleme zu beheben. In diesem Jahr gab es insgesamt Prämien in Höhe von 1,7 Millionen US-Dollar für die Entdeckung von Schwachstellen.

Quelle: https://heise.de/-3464583