Der Pwn2Own-Wettbewerb auf der Sicherheitskonferenz in CanSecWest im kanadischen Vancouver stand wiedereinmal ganz unter dem Zeichen Schwachstellen in Safari und mehr aufzudecken.
Es dauerte nicht lang und die ersten Teilnehmer konnten aufgrund von Schwachstellen in Safari und mobile Safari auf ein iPhone 3GS sowie ein MacBook Pro zuzugreifen. Die Informationen über die genaue Vorgehensweise bleiben „leider“ geheim. Jedoch soll über eine Lücke in Mobile Safari auf die SMS-Datenbank eines iPhone 3GS unter dem aktuellen OS 3.1.3 zugegriffen worden sein. Insgesamt wurden ganze 20 Sekunden gebraucht, bis Vincenzo Iozzo and Ralf Philipp Weinmann die SMS des unbekannten iPhones lesen konnten.
Auch Charlie Miller landete seinen persönlichen Hatrick. Zum Dritten mal gelang es ihm über eine Schwachstelle in Safari unter Snow Leopard auf einem attackierten MacBook Pro ein Shell zu öffnen um die komplette Steuerungsgewalt über das MacBook Pro zu erhalten.
Auch hier gibt es keine näheren Details zur Vorgehensweise. Die verwendeten Exploits werden anschließend an Apple weitergeleitet und dienen als Grundlage für neue Sicherheitsupdates für das iPhone OS und Mac OS X.
Vincenzo Iozzo und Ralf Philipp Weinmann
Charlie Miller