iPhone-Fotos unwiderruflich gelöscht- Die Gewinner der "Hacker-Olympiade" könnten's richten...
ID: 1673140
Pwn steht im Hacker-Jargon für ?Own? wie in ?Owning?, sprich: die Übernahme eines Computers mitsamt Daten. Teilen sich die Olympischen Spiele in Sommer- und Winter-Disziplinen auf, so wechseln bei den Hacker-Games Desktop- (Anfang des Jahres) und Mobile Devices-Hacking (Ende des Jahres).
Das so flapsig anmutende Hacker-Event ist keineswegs eine Bewerbungsmesse für Kriminelle. Vielmehr müssen sich die Kandidaten bei ihren Prüfungen an strenge Zielvorgaben halten: Bei der Suche nach noch unentdeckten Zero Days heißt es, in einer halben Stunde ?echte? Einfallstore zu finden und mögliche Attacken gut zu dokumentieren, damit diese reproduziert werden können. Dann winkt ein hohes Preisgeld.
Gewinnerduo überzeugt mit iPhone-Foto-Wiederherstellungs-Hack
Die diesjährigen Gewinner der Mobile Pwn2Own, die am 13. November in Tokio endete, sind ein Duo, das sich den verheißungsvollen Namen @fluoroacetate gab. Fluoracetat ist ein schnell wirkendes und tödliches Gift. Dahinter verbergen sich Amat Cama und Richard Zhu.
Ihr Gewinner-Hack lohnt einen detaillierteren Blick: Wie man Dateien von iPhones wiederherstellen kann, wird nach wie vor kontrovers diskutiert ? aber: @fluoracetate entwickelte einen Weg, ein oder mehrere gelöschte Daten auf einer vorherigen iOS-Version zu erreichen.
In ihrer live Exploit-Demonstration nutzten sie ein Foto aus dem Ordner ?Kürzlich Gelöscht?. Im iOS-Betriebssystem bei Apple ist es den Usern nicht möglich, Root-Rechte zu erlangen oder hinter die Kulissen nach gelöschten Daten zu schauen. Um also gelöschte Dateien zu finden, setzten Cama und Zhu auf einen sehr brauchbaren Fehler im Safari Browser, um iOS auszutricksen, sie in Content schauen zu lassen, der normalerweise keinen Zugriff erlaubt.
Das Risiko von Browser-Bugs dieser Art liegt darin, dass sie generell remote ausgenutzt werden können ? man braucht nur sein Opfer dazu zu verleiten, auf einer Webseite zu gehen. Das reicht bereits, kein Download, keine Einstellungsänderungen etc. nötig.
215.000 US-Dollar Preisgeld fürs Hacken von Apple, Samsung und Xiaomi
Dieser Hack brachte dem unerschrockenen Duo 50.000 US-Dollar ein, insgesamt weniger als ein Viertel ihres gesamtem Preisgeldes. Hier ihre Gewinne:
30.000 US-Dollar für das Austricksen eines Xiaomi Mi6 Telefons durch automatisches Starten eines Web-Browsers mit anschließendem Download eines Exploit-Programms, alles via NFC (Nahfeldkommunikation).
50.000 US-Dollar für die Übernahme eines Samsung Galaxy S9: hier wurde ein Bug in der Basisband-Firmware ausgemacht. Hierbei handelt es sich um eine vom Verkäufer mitgelieferte Firmware, getrennt vom Betriebssystem selbst und programmiert, um auf die Telefonfunktionen des Geräts selbst zu achten, zum Beispiel Anrufe und Verbindungen zum 4G Netzwerk.
60.000 US-Dollar für den Hack eines iPhone X via eines Wi-Fi-Bugs.
25.000 US-Dollar für einen JavaScript-Fehler auf dem Xiaomi Mi6, das ihnen erlaubte, Daten von dem Gerät herauszuschleusen.
Das eifrige Hacker-Paar probierte auch die iPhone Xs Baseband-Firmware zu knacken, bekam das aber in dem festgelegten Zeitraum nicht hin. Nichtsdestotrotz nahmen sie für fünf erfolgreiche Zero-Days insgesamt 215.000 US-Dollar mit nach Hause.
Diese Ergebnisse zu ihren Geräten wurden gleich nach Ende der Veranstaltung an Apple, Samsung und Xiaomi gemeldet ? man kann davon ausgehen, dass die Fehler bereits behoben wurden, bevor Cyberkriminelle sie ausnutzen konnten.
Und was ist jetzt mit den gelöschten iPhone-Fotos?
Was macht man nun mit dieser Erkenntnis über die doch-nicht-so-richtig-gelöschten Fotos auf dem iPhone? Wildes Agieren wäre unnötig ? der Bug scheint nicht derart zu sein, dass Kriminelle ihn entdeckt haben, bevor er im Rahmen dieser Olympiade bekannt wurde.
Falls man aber besorgt über die gelöschten Fotos auf seinem iPhone ist: auf dem Gerät befindet sich ja eine zweite ?Lösch?-Ebene in der Foto-Applikation. In der Liste der Alben gibt es ein Album mit Namen ?Kürzlich Gelöscht?, eine Art Kurzzeit-Aufbewahrung. Bislang lassen sich die Fotos nach dem Löschen aus diesem Ordner nicht wieder zurückholen? auch mit @fluoracetate?s neuem Hack nicht.
Mehr als 100 Millionen Anwender in 150 Ländern verlassen sich auf Sophos' Complete-Security-Lösungen als den besten Schutz vor komplexen IT-Bedrohungen und Datenverlust. Sophos bietet dafür preisgekrönte Verschlüsselungs-, Endpoint-Security-, Web-, Email-, Mobile- und Network Security-Lösungen an, die einfach zu verwalten, zu installieren und einzusetzen sind. Das Angebot wird von einem weltweiten Netzwerk eigener Analysezentren, den SophosLabs, unterstützt.
Sophos hat seinen Hauptsitz in Boston, USA, und Oxford, Großbritannien. In Deutschland hat das Unternehmen seinen Hauptsitz in Wiesbaden und ist in Österreich und der Schweiz je an einem Standort vertreten. Weitere Informationen unter www.sophos.de.
Weitere Infos zu dieser Pressemeldung:
Unternehmensinformation / Kurzprofil:
Mehr als 100 Millionen Anwender in 150 Ländern verlassen sich auf Sophos' Complete-Security-Lösungen als den besten Schutz vor komplexen IT-Bedrohungen und Datenverlust. Sophos bietet dafür preisgekrönte Verschlüsselungs-, Endpoint-Security-, Web-, Email-, Mobile- und Network Security-Lösungen an, die einfach zu verwalten, zu installieren und einzusetzen sind. Das Angebot wird von einem weltweiten Netzwerk eigener Analysezentren, den SophosLabs, unterstützt.Sophos hat seinen Hauptsitz in Boston, USA, und Oxford, Großbritannien. In Deutschland hat das Unternehmen seinen Hauptsitz in Wiesbaden und ist in Österreich und der Schweiz je an einem Standort vertreten. Weitere Informationen unter www.sophos.de.
Datum: 22.11.2018 - 12:02 Uhr
Sprache: Deutsch
News-ID 1673140
Anzahl Zeichen: 5475
Kontakt-Informationen:
Stadt:
Wiesbaden
Kategorie:
New Media & Software
Diese Pressemitteilung wurde bisher 381 mal aufgerufen.
Die Pressemitteilung mit dem Titel:
"iPhone-Fotos unwiderruflich gelöscht- Die Gewinner der "Hacker-Olympiade" könnten's richten..."
steht unter der journalistisch-redaktionellen Verantwortung von
Sophos Technology GmbH (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).
Unternehmen in Deutschland, Österreich und der Schweiz stehen wie viele Organisationen weltweit vor der Herausforderung, eine wachsende Zahl an IT- und Cybersecurity-Vorgaben zu erfüllen. Eine aktuelle, von Sophos in Auftrag gegebene internationale Studie zeigt, wie stark regulatorische Anforderun
Entwickler-Tools als neue Angriffsfläche ...
Aktuelle Angriffe auf den Infrastruktur-Scanner Checkmarx KICS und den Kommandozeilen-Client von Bitwarden zeigen eine neue Qualität von Supply-Chain-Attacken. Die Angreifer verteilten trojanisierte Versionen über offizielle Kanäle wie npm, Docker Hub und GitHub Actions. Sie unterwanderten damit
Security-Blindspot: Wie Angreifer QEMU nutzen, um Erkennungssysteme zu umgehen ...
Sophos-Analysten untersuchen den aktiven Missbrauch von QEMU (Quick Emulator), einem Open-Source-Maschinenemulator und Virtualisierungs-Tool. Angreifer nutzen QEMU und weitere gängigere, auf Hypervisoren basierende Virtualisierungs-Tools, wie Hyper-V, VirtualBox und VMware, seit längerer Zeit. Gru
Weitere Mitteilungen von Sophos Technology GmbH
SoftProject präsentiert agile IoT-/IIoT-Plattform auf der SPS IPC Drives 2018 ...
Ettlingen, 22. November 2018 - Intelligente Vernetzung von Menschen, Systemen und Maschinen bieten in der Industrie und in der Energiewirtschaft enorme Chancen, wie Wettbewerbsvorsprung oder Kosten- und Ressourceneinsparungen. Wie Unternehmen diese mit der X4 Suite IoT-/IIoT-Plattform der SoftProjec
Ladeinfrastruktur- und Energie-Management mit sphinx open LEM der in-GmbH ...
Konstanz, 22. November 2018 - In Deutschland steigt die Nutzung von Elektrofahrzeugen. Bisher gilt die unzureichende Ladeinfrastruktur jedoch als ein Haupthindernis beim Ausbau der Elektromobilität. Die in-integrierte informationssysteme GmbH ( www.in-gmbh.de) ermöglicht mit ihrem Service sphinx o
Produkte digital denken ...
Neben dem Einsatz von Social Media und dem Schlagwort "Industrie 4.0" gibt es noch viel schwerwiegenderen Aspekt der Digitalisierung: Das Digitale dringt in die Produkte und Dienstleistungen der Unternehmen ein und verändert sie von innen heraus stark. Produkte werden Internet-fähig und
Sichere Kommunikation im Unternehmen ...
Digitale Kommunikation kommt nicht ohne Risiken und Gefahren: Kriminelle haben unterschiedliche Motive, um sensible Daten und private Informationen zu stehlen. Eine Studie von Symantec aus dem Jahr 2017 fand heraus, dass eine von 131 E-Mails von Viren oder Schadsoftware befallen ist. Unter diesem As




