daily.out

2012-01-05 Android Security zu schlecht für Pwn2Own

Die Zero Day Initiative (ZDI), die alljährlich das Pwn2Own-Spektakel veranstaltet, sieht sich 2012 gezwungen, einige Änderungen vorzunehmen. Eine davon ist, daß keine mobilen Browser angegriffen werden sollen, weil das mit den nicht aktualisierten Androiden viel zu einfach wäre.

ZDI schreibt, daß sie zurück zu den Wurzeln wollen und dafür den Browser-Hacking-Wettbewerb komplett umgestalten.

Sie haben 2010 und 2011 in Webkit 23 beziehungsweise 17 sicherheitskritische Bugs veröffentlicht, von denen viele immer noch aktuelle Mobiles betreffen, weil die Betreiber (Carriers) die nötigen Updates nicht machen. Webkit wird zwar in vielen Browsern, mobil und auf dem Desktop, verwendet, aber es gibt nur zwei große Anbieter, die relevant sind: Die Default-Browser von iOS und Android. Da iOS-Updates von Apple zuverlässig ausgerollt werden und Android bekannt ist für seine Update-Problematik, dürfte klar sein, wen ZDI meint.

Weil soviele alte Lücken immer noch in der installierten Android-Basis bestehen, erscheint die Suche nach neuen Bugs absurd und ein Wettbewerb dazu ziemlich langweilig. Darum konzentrieren sie sich auf die normalen Browser (Desktop) und erhöhen die Preise dafür erheblich.

Außerdem wird 2012 eine weitere Voraussetzung sein, daß die Exploits direkt vor Ort entwickelt werden müssen. Charlie Miller macht sich deshalb schon lustig darüber, daß die Presse diesmal keine sensationsheischenden Schlagzeilen wird produzieren können, weil er seinen "Rekord von 10 Sekunden" nicht unterbieten kann, wenn er den Exploit live programmieren muß und den Hack nicht – wie sonst – schon Monate vor der Show zuhause austüfteln darf und ihn dann während der Show nur laufen läßt.

Allerdings hat Android noch ganz andere Sicherheits-Sorgen, die "by design" enthalten sind.

---