Beim diesjährigen Hacker-Wettbewerb Pwn2own sind alle vertretenen Browser bis auf Chrome innerhalb kurzer Zeit gehackt worden. Auch Apples iPhone hat nur wenige Minuten durchgehalten.
Derzeit findet im kanadischen Vancouver die Sicherheitskonferenz CanSecWest statt.
Deren öffentlichkeitswirksamster Programmpunkt ist seit vier Jahren der Hacker-Wettbewerb "Pwn2own". In diesem Jahr sind in den ersten Minuten des ersten Tags bereits Safari, Firefox und der Internet Explorer sowie das iPhone gehackt worden.
Im Rahmen des Wettbewerbs demonstrieren Sicherheitsforscher neu entdeckte Sicherheitslücken und dürfen das gehackte Gerät sowie eine Geldprämie mit nach Hause nehmen. Die Systeme sind mit allen verfügbaren Sicherheits-Updates ausgerüstet. Dazu zählen etwa ein MacBook mit Mac OS X 10.6, drei Windows-Notebooks sowie vier Smartphones, darunter ein iPhone 3GS, ein Blackberry Bold 9700 und ein Nexus One. Insgesamt hat der Sponsor des Wettbewerbs, die 3Com-Tochter TippingPoint, 100.000 US-Dollar an Preisgeldern ausgelobt, 10.000 für jeden Browser, 15.000 pro Smartphone.
Charlie Miller hat zum dritten Mal in Folge das MacBook gewonnen, wofür er, wie schon im Vorjahr, einen Safari-Exploit benutzt hat.
Ein deutscher Student mit dem Vornamen Nils hat Firefox unter Windows 7 gehackt, was ihm auch 2009 bereits gelang. Sein Safari-Exploit hat ihm hingegen keinen Preis eingebracht, denn Miller war durch Losglück vor ihm an der Reihe.
Vincenzo Iozzo und Ralf Philipp Weinmann, die Newcomer in diesem Jahr, haben mit Hilfe eines Safari-Exploits das iPhone gehackt und sind zudem die Schnellsten gewesen. Auch der Internet Explorer 8 unter Windows 7 ist bereits am ersten Tag gefallen. Der Wettbewerb läuft, mit abgesenkten Hürden, noch zwei weitere Tage. Die benutzten Sicherheitslücken hält TippingPoint unter Verschluss, bis die Hersteller Updates bereit gestellt haben, um sie zu schließen.
Über die Sicherheit der vertretenen Systeme sagt der Wettbewerb wenig aus. Mit genügend Zeit und Aufwand ist jedes System zu knacken. An Chrome hat sich schlicht niemand versucht. Interessanter ist, wie schnell die Hersteller Sicherheits-Updates bereit stellen. Im letzten Jahr hat Mozilla den Vogel abgeschossen, indem es zwei Firefox-Lücken innerhalb einer Woche schloss.
(Frank Ziemann - PCWelt.de)