Blackberry


Einfallstor Browser

Hacker knacken Blackberry Torch und iPhone 4

Moritz Jäger ist freier Autor und Journalist in München. Ihn faszinieren besonders die Themen IT-Sicherheit, Mobile und die aufstrebende Maker-Kultur rund um 3D-Druck und selbst basteln. Wenn er nicht gerade für Computerwoche, TecChannel, Heise oder ZDNet.com schreibt, findet man ihn wahlweise versunken in den Tiefen des Internets, in einem der Biergärten seiner Heimatstadt München, mit einem guten (e-)Buch in der Hand oder auf Reisen durch die Weltgeschichte.
Auf dem Wettbewerb Pwn2Own haben Sicherheitsexperten auch dieses Jahr wieder gängige Smartphones zur Brust genommen. Erneut wurde das iPhone geknackt - und erstmals auch ein Blackberry.

Teil der jährlichen Sicherheitskonferenz CanSecWest ist der sogenannte Pwn2Own-Wettbewerb. Dabei geht es darum, bestimmte Systeme durch neue und innovative Attacken zu knacken. Wer die Sicherheitsmaßnahmen der jeweiligen Systeme umgehen kann, erhält nicht nur Geld, sondern darf das jeweilige System auch behalten.

Erstmals ist es einem Team nun gelungen, die Sicherheitsfunktionen eines Blackberry-Smartphones auszuhebeln. Das Opfer war der aktuelle Blackberry Torch - das Einfallstor ausgerechnet der neue Webkit-basierte Browser. Laut ZDnet.com hat ein Team aus drei Hackern mehrere Sicherheitslücken in Webkit gekoppelt und in einer manipulierten Website integriert. Sobald diese Seite auf dem Smartphone geöffnet wurde, konnten die Hacker die Kontakte und die Bilddatenbank des Gerätes herunterladen.

Der Angriff richtet sich gegen einen Blackberry Torch 9800 mit Firmware 6.0.0.246, wobei auch noch aktuellere Systeme betroffen sind. Explizit nicht betroffen sind frühere Blackberrys, die noch auf das 5.x-Betriebssystem setzen - in diesen ist der WebKit-Browser nicht enthalten, der Hack findet also keine Angriffsfläche.

RIM will reagieren

Adrian Stone, bei RIM mit für die Sicherheit der Geräte verantwortlich, war vor Ort und versprach, dass er und sein Team sich den Angriff im Detail ansehen werden: "Sollte es wirklich eine Zero-Day-Attacke sein, werden wir schnellstmöglich einen Patch erstellen und diesen über die Provider unseren Kunden zur Verfügung stellen", so Stone gegenüber ZDnet.com.

Zur Startseite