Auf dem alljährlichen Pwn2Own-Event in Toronto wurden unter anderem kürzlich bislang unbekannte Sicherheitslücken in den aktuellen Android-Flaggschiffen Samsung Galaxy S23 und Xiaomi 13 Pro aufgedeckt. Wie die Veranstalter der Zero Day Initiative berichteten, konnten die teilnehmenden Sicherheitsforscher die Smartphones erfolgreich hacken und erhielten dafür zusammengerechnet Preisgelder im sechsstelligen Bereich.
Besonders im Fokus stand das Samsung Galaxy S23 von Anfang des Jahres. Hier gelang es dem Team von Star Labs SG, eine Sicherheitslücke bei der Eingabevalidierung auszunutzen und so das Gerät zu kompromittieren. Dafür erhielten sie 25.000 Dollar.
Noch mehr Geld, nämlich 50.000 Dollar, konnte die Gruppe Pentest Limited gewinnen, indem sie eine weitere Schwachstelle bei der Eingabeüberprüfung fand und für einen erfolgreichen Hack nutzte. Mit immerhin 6.250 US-Dollar wurde Team Orca von Sea Security entlohnt, weil sie zwar einen Bug ausnutzen konnten, der jedoch schon zuvor bekannt war.
Auch das konkurrierende Xiaomi 13 Pro erwies sich als angreifbar. Dem vietnamesischen Team Viettel gelang mit nur einem Exploit ein Hack des Xiaomi-Smartphones, der mit 40.000 Dollar honoriert wurde. Die Experten von NCC Group fanden eine weitere Lücke in der Xiaomi-Software und erhielten 20.000 Dollar Prämie.
Fairerweise muss man aber auch festhalten, dass manche Hacker ihre Versuche abbrechen mussten oder in der vorgegebenen Zeit des Wettbewerbs nicht erfolgreich waren.
Die aufgedeckten Sicherheitslücken sind besonders brisant, da sie zuvor weder den Herstellern noch anderen Experten bekannt waren. Sie werden daher als Zero-Day-Exploits bezeichnet. Samsung und Xiaomi sollten nun innerhalb von 90 Tagen Sicherheitsupdates bereitstellen, um ihre Nutzer zu schützen.
Solche Hacking-Wettbewerbe zeigen immer wieder, dass absolute Sicherheit eine Illusion ist. Auch die neuesten Smartphones von Marktführern wie Samsung und aufstrebenden Anbietern wie Xiaomi sind vor cleveren Angriffen nicht gefeit. Die Veranstalter der Pwn2Own-Reihe wollen die Hersteller so motivieren, mehr Ressourcen in die Absicherung ihrer Geräte zu investieren. Mit-Sponsor der Veranstaltung ist neben Netzwerkspeicherspezialist Synology auch Google.
Alles was Elektrisch und eine Software hat, kann man Hacken. Es gibt immer Lücken.