Hackerwettbewerb Pwn2Own läuft wieder
Safari-Schwachstelle bringt Entdecker 65.000 Dollar Preisgeld ein
Auch in diesem Jahr findet im Rahmen der Sicherheitskonferenz CanSecWest in Vancouver der Hackerwettbewerb Pwn2Own statt. Gleich am ersten Tag konnte sich ein Teilnehmer aus Deutschland für einen erfolgreichen Angriff auf macOS ein Preisgeld in Höhe von 65.000 Dollar sichern.
Samuel Groß aus Karlsruhe gelang es, durch die Kombination von drei Angriffsvarianten, eine Schwachstelle in Safari für macOS auszunutzen, mit deren Hilfe er per Browser-Befehl Zugriff aus Systemdateien erhielt.
In seiner Demonstration öffnete Groß Apples Taschenrechner-App über den Webbrowser und brachte zudem noch eine „Erfolgsmeldung“ auf der Touch Bar des kompromittierten MacBook Pro zum Leuchten. Falls euch das bekannt vor kommt: Bereits im vergangenen Jahr hatte Groß mit einer ähnlichen Methode Erfolg und nutzte die Touch Bar damals ebenfalls zur Anzeige seines „pwned by“-Statements. Details zu den im Rahmen des Wettbewerbs aufgedeckten Sicherheitslücken werden den Herstellern zur Verfügung gestellt, sodass die Fehler zeitnah behoben werden können
eine super Win-Win Situation!
Peinlich, Tim Cook MUß im eigenen Jet fliegen, aber Hacker die die eigene Produktsicherheit verbessern werden mit Peanuts abgespeist!
ein gutes Jahresgehalt als Peanuts abzuspeisen?? OK
65000Dollar
nach steuer bleibt da nicht viel !!! also peanuts
Woher weißt Du, dass das Preisgeld von Apple selbst ausgelobt wurde?
Hauptsache beschweren. Lustig, wie man es manchen Leuten einfach nicht recht machen kann…. wären denn 75K okay? Oder 95K? Oder doch lieber 200K? Oder was wäre aus deiner Sicht ein „angemessenes“ Preisgeld für diese Situation? Jetzt bin ich gespannt auf deine Antwort
@ DiscoDenis
angemessen wäre ein Preisgeld das es wirtschaftlich sinnvoll macht die Sicherheitslücke dem Hersteller aufzuzeigen statt sie zu verkaufen.
65.000 sind das ganz sicher nicht…
humm … interessante Einstellung. Was wäre denn ein gerechtfertigter Betrag der angemessen wäre?
Ich frage, weil ich in der Software Qualitäts Sicherung arbeite. Vielleicht sollte ich mich pro Fehler bezahlen lassen und nicht mehr länger mein Jahresgehalt verhandeln.
Das Preisgeld kommt nicht von Apple sondern von der ZDI (Zero Day Initiative hinter der die Sicherheitsfirma Trend Micro steht).
Die gefundenen Sicherheitslücken gehen kostenlos an die Hersteller zur Entwicklung von Patches und werden natürlich von Trend Micro in deren Sicherheitsprodukten, wenn möglich, entsprechend erkannt und blockiert.