Android-Hack
Galaxy S3 per NFC geknackt
publiziert: Freitag, 9. Nov 2012 / 15:18 Uhr
Galaxy S3: nur ein der Opfer im Hacker-Wettstreit.
Galaxy S3: nur ein der Opfer im Hacker-Wettstreit.

Pwn2Own-Wettbewerb sieht auch erfolgreichen Angriff auf iOS6.

2 Meldungen im Zusammenhang
Mitarbeitern der MWR Labs ist es auf der Sicherheitskonferenz EuSecWest gelungen, einen Schädling via der Nahbereichs-Funktechnologie NFC in ein Galaxy S3 einzuschleusen und dann die volle Kontrolle über das Android-Smartphone zu erlangen. Damit hat sich das südafrikanisch-britische Team im Rahmen des Wettbewerbs Pwn2Own unter anderem 30'000 Dollar Preisgeld gesichert. Die gleiche Summe konnten sich auch Experten des niederländischen Unternehmens Certified Secure sichern - mit einem iPhone-4S-Hack, der laut ZDNet auch unter dem neuen iOS 6 funktioniert.

NFC-Trick eine Show

Das MWR-Team hat eine bislang unbekannte Lücke in Android 4.0.4 genutzt, um zunächst via NFC eine Datei ins Samsung-Gerät einzuschleusen. Über eine zweite Schwachstelle konnten die Forscher sich dann höhere Rechte sichern und so die Kontrolle über das Gerät übernehmen. Theoretisch ist dieser Angriff interessant, da eine NFC-Übertragung kontaktlos und relativ unauffällig erfolgen kann. In der Praxis sieht das freilich noch anders aus. «NFC ist gerade in Europa noch keine weit verbreitete Technologie», meint Jürgen Eckel von Ikarus-Software.

Auch wenn NFC weitere Verbreitung findet, wird es nach Ansicht des Ikarus-Experten längerfristig nicht unbedingt zum gängigen Einfallstor. «Etwaige Lücken beispielsweise in Android werden sukzessive geschlossen werden», so Eckel. Gerade auf Schwachstellen bei kritischen Handy-Kerntechnologien sei auch in der Vergangenheit stets grosses Augenmerk gelegt worden. Zudem ist die Frage, ob NFC wirklich der Kern eines Sicherheitsproblems ist. Beim aktuellen Hack diente das Einschleusen des Schädlings via NFC eher dem Showeffekt, die Lücke kann laut MWR-Team auch über andere Vektoren wie schädliche Webseiten oder E-Mail-Anhänge ausgenutzt werden.

WebKit-Lücke

Auf präparierte Webseiten setzt indes der Hack von Certified Secure, die das iPhone 4S geknackt haben. Sie nutzen dabei eine Schwachstelle in der Browser-Layoutengine WebKit aus, um einen Drive-by-Download zu starten. Beim Pwn2Own-Wettbewerb haben die Sicherheitsspezialisten damit zwar ein iPhone 4S mit iOS 5.1.1 als Betriebssystem geknackt, doch funktioniert der Trick den Niederländern zufolge auch beim gerade veröffentlichten iOS 6 - und damit voraussichtlich auch beim in Kürze startenden iPhone 5.

Gemäss den Wettbewerbsregeln haben MWR Labs und Certified Secure noch keine genauen Details zu den genutzten Schwachstellen veröffentlicht. Die relevanten Informationen werden über die Zero Day Initiative der zu HP gehörenden TippingPoint DVLabs an die betroffenen Unternehmen, also Google bzw. Apple, weitergeleitet. Diese bekommen somit die Gelegenheit, die Sicherheitslücken möglichst zeitnah zu stopfen. Die MWR Labs haben aber auf ihrer Website angekündigt, technische Details zum NFC-Hack mit der Öffentlichkeit zu teilen, nachdem ein geeigneter Patch erschienen ist.

(bert/pte)

Lesen Sie hier mehr zum Thema
.
Digitaler Strukturwandel  Nach über 16 Jahren hat sich news.ch entschlossen, den Titel in seiner jetzigen Form einzustellen. Damit endet eine Ära medialer Pionierarbeit. mehr lesen 21
Kryptowährungen schnell und einfach über das Smartphone kaufen.
Kryptowährungen schnell und einfach über das Smartphone kaufen.
Publinews Spätestens seit dem Bitcoin-Boom im Jahr 2017, wo der Bitcoin-Kurst ein Rekordhoch nach dem nächsten sprengte, interessieren sich nicht nur Technikbegeisterte und Internetaktivisten für Kryptowährungen. mehr lesen  
Lage in der Schweiz und International  Bern - Der 30. Halbjahresbericht der Melde- und Analysestelle Informationssicherung (MELANI) befasst sich mit den wichtigsten Cybervorfällen der zweiten Jahreshälfte ... mehr lesen
Beim Surfen im Internet werden digitale Spuren hinterlassen, in vielen Fällen nicht zum Vorteil der User.
Der passende Domainname fehlte  Nach einem grösseren Datenleck beim erfolglosen Social Media Projekt Google Plus zieht Google den ... mehr lesen  
Kein Erfolg wegen fehlendem Domainnamen? Google Plus
.
eGadgets news.ch geht in Klausur Nach über 16 Jahren hat sich news.ch entschlossen, den Titel in ... 21
Domain Namen registrieren
Domain Name Registration
Zur Domain Registration erhalten Sie: Weiterleitung auf bestehende Website, E-Mail Weiterleitung, Online Administration, freundlichen Support per Telefon oder E-Mail ...
Domainsuche starten:


 
Stellenmarkt.ch
Kreditrechner
Wunschkredit in CHF
wetter.ch
Heute Mi Do
Zürich 2°C 14°C freundlichleicht bewölkt, ueberwiegend sonnig freundlich wechselnd bewölkt
Basel 6°C 17°C freundlichleicht bewölkt, ueberwiegend sonnig freundlich wolkig, aber kaum Regen
St. Gallen 4°C 15°C freundlichleicht bewölkt, ueberwiegend sonnig freundlich wechselnd bewölkt
Bern 3°C 15°C freundlichleicht bewölkt, ueberwiegend sonnig freundlich wechselnd bewölkt
Luzern 3°C 16°C freundlichleicht bewölkt, ueberwiegend sonnig freundlich wechselnd bewölkt
Genf 6°C 17°C freundlichleicht bewölkt, ueberwiegend sonnig sonnig wolkig, aber kaum Regen
Lugano 8°C 14°C wechselnd bewölktleicht bewölkt, ueberwiegend sonnig bedeckt bedeckt
mehr Wetter von über 8 Millionen Orten