Pwn2Own-Contest: Safari in wenigen Sekunden geknackt
kg, den 19. März 2009Wie schnell es gehen kann, einen Browser zu knacken, haben sowohl letztes als auch dieses Jahr Hacker im „Pwn2Own“-Wettbewerb bewiesen. Bei der CanSecWest hat es lediglich einige Sekunden gedauert, bis eine Lücke in Safari geknackt wurde.
Zur Verfügung standen im Test zwei Rechner mit verschiedenen Browsern in Standardkonfiguration: Ein Sony Vaio mit Windows 7 und Internet Explorer 8, Firefox und Chrome, sowie ein MacBook mit Safari und Firefox.
Gewinner des Wettbewerbs, wie bereits im letzten Jahr: Charlie Miller, Sicherheitsforscher für eine Firma, die sich auf die Sicherheitsoptimierung spezialisiert hat. Die Lücke hatte er bereits im letzten Jahr entdeckt, und sie erlaubt es einem Hacker, mittels eines bösartigen Links aus der Ferne Zugriff auf den Rechner zu bekommen. Genauere Informationen über diese Sicherheitslücke gibt es nicht, denn das ist Teil der Wettbewerbsregeln. Apple weiß allerdings von der Lücke und wird sie in Kürze schließen.
Rein praktisch gesehen ist der Pwn2Own-Contest ein Kampf der Betriebssysteme und Browser, den Apple in diesem Jahr recht eindeutig verloren hat. Linux war im letzten Jahr auch noch im Contest vertreten, in diesem Jahr wollte aber keiner der jeweiligen Entwickler Energie in den Bereich stecken.
Jeff Jones, Chef der Sicherheitsabteilung bei Microsoft, hält vom Wettbewerb selbst nicht viel: „Sicherheit wird vereinfacht bis zum Punkt der absoluten Nutzlosigkeit,“ so Jones. Bereits im letzten Jahr erläuterte er das noch genauer: „Ich interessiere mich für diesen Contest nicht. Wenn ein Rechner nicht gehackt wird, heißt das nicht, dass er nicht hackbar ist. Und wenn er gehackt wird, zeigt das uns meist das, was wir ohnehin schon wissen. Jeder Rechner kann unter den richtigen Umständen geknackt werden.“
Neben Miller hat auch ein deutscher Informatikstudent der Universität Oldenburg beim Wettbewerb abgeräumt, indem er sowohl den Internet Explorer 8, als auch Safari und Firefox geknackt hat. Für jede aufgedeckte Sicherheitslücke in Desktop-Browsern bekommen die Teilnehmer $5000, außerdem bekommt derjenige, der den ersten Fehler auf einem der Rechner entdeckt, den jeweiligen Rechner dazu.