MacBook Air Hack in zwei Minuten, Hacker sahnt Laptop und 10.000 Dollar ab

Charles Miller hat den ersten "offiziellen" Hack auf dem neuen MacBook Air durchgeführt. Dieses war Teil der Sicherheitskonferenz CanSecWest in Vancouver. Es wurde eigens ein Wettbewerb dafür Veranstaltet. Nach nur zwei Minuten hat Miller einen Bug im Safari-Browser genutzt, um Zugriff auf fremde Dateien zu erhalten. Er durfte mit 10.000 Dollar Preisgeld und einem nagelneuen Laptop nach Hause gehen.

Hintergrund der Hacking-Veranstaltung auf der CanSecWest ist die Sicherheit auf den neu erschienen Laptops zu gewährleisten. Mit dabei waren ein Sony Vaio, ein Fujitsu U810 und ein an Apple MacBook Air. Alle ausgestattet mit der Standard-Software, die man normalerweise auch beim Kauf erhält.

Am ersten Tag des Wettbewerbs war die Aufgabe die Computer über das Netzwerk zu hacken, was aber keinem der Teilnehmer gelungen ist. Am zweiten Tag wurden die Hacker direkt an die Computer selbst gelassen, beziehungsweise mußten Mitglieder des Organisations-Teams anweisen, bestimmte Webseiten zu besuchen oder Mails zu öffnen. Keine Tricks oder doppelte Böden, sondern schlicht die top-aktuelle Software und ein "Standard-User". Tag zwei der Hack-Veranstaltung also bezog sich auf Software-Komponenten, die oft große Risiken für die Sicherheit beinhalten, namentlich Webbrowser und Mailprogramm.

Nicht schlecht gestaunt haben dürften alle Anwesenden als der MacBook Air nach nur zwei Minuten durch einen Exploit auf einer Webseite gehackt war. Schon letztes Jahr hat Miller den iPod gehackt, aber in diesem Zeitrahmen dürfte auch dies seine Bestleistung gewesen sein. Auch die Organisatoren haben nicht lange gezögert. Miller bekam sein Preisgeld, durfte den Computer gleich mitnehmen und gleichzeitig eine Vereinbarung unterzeichnen, die ihm untersagt, öffentlich bekannt zu geben wie sein Hack funktioniert.

Veranstaltungen dieser Art haben den Zweck Sicherheitslücken in neuer Soft- und Hardware aufzudecken, von denen die Programmierer des Systeme nichts ahnen. Es geht um das Aufspüren sogenannter "0 Day Exploits". Der Name bezeichnet den Tag "Null", somit den Zeitrahmen zwischen dem Zeitpunkt, an dem Hacker von Sicherheitslücken wissen und dem Zeitraum, wo das Problem bekannt wird und effektive Maßnahmen getroffen werden können.

( via Techtree )

• 28 Kommentare zum Artikel

• Zitat: und gleichzeitig eine Vereinbarung unterzeichnen, die ihm untersagt, öffentlich bekannt zu geben wie sein Hack funktioniert. ownd!

  da G am 30.03.2008 15:20

• Als Hacker kann man auch legal gutes Geld verdienen Cu Verbogener

  Verbogener am 09.04.2008 23:32
• [...] Diskussion lesen oder Artikel kommentieren