Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Hackers kraken Amazon Echo en Samsung Galaxy S10 bij Pwn2Own-competitie

Bij de Pwn2Own-competitie in Tokio hebben deelnemers tal van apparaten gekraakt via nog onbekende kwetsbaarheden. Onder andere de Amazon Echo, smart-tv's van Samsung en Sony, de Xiaomi Mi 9, de Samsung Galaxy S10 en verschillende routers vielen ten prooi.

De meest aansprekende hacks kwamen van de hand van team Fluoroacetate. Het duo kraakte op de eerste dag eerst de Sony X800G via de browser van de televisie en vervolgens een Amazon Echo Show 5-speaker en Samsung Q60-tv, beide via een integer overflow in javascript. Het team had daarna nog tijd om een javascript-bug in een Xiaomi Mi 9 uit te buiten om een afbeelding aan het toestel te onttrekken. Op dag twee van de competitie onderscheidde Fluoroacetate zich met hacks van een Samsung S10. Het tweetal wist een bestand op het toestel te krijgen door een eigen basisstation in te zetten. In totaal wist Fluoracetate zo 195.000 dollar en 18,5 punten te scoren, voldoende voor de titel Master of Pwn.

De nieuwkomers van team Flashback richtten zich op de eerste dag op een Netgear Nighthawk R6700, die ze via een buffer overflow wisten binnen te dringen en ook wisten ze via de wan-interface de firmware van de router zo aan te passen, dat ze hun payload blijvend op het apparaat achter konden laten.

Het derde team van de competitie, F-Secure Labs, richtte zich op een nfc-onderdeel van de Xiaomi Mi 9. Met een speciaal vervaardigde nfc-tag wist het team een cross-site scripting-bug in het onderdeel uit te buiten om zo een afbeelding aan het toestel te onttrekken.

Pwn2Own is een competitie voor hackers die twee keer per jaar plaatsvindt en gehouden wordt op initiatief van het Zero Day Initiative van Trend Micro. Het doel is om zoveel mogelijk nog onbekende kwetsbaarheden aan het licht te brengen.

Door Olaf van Miltenburg

Nieuwscoördinator

08-11-2019 • 12:42

32 Linkedin Google+

Submitter: TheVivaldi

Reacties (32)

Wijzig sortering
Het is tegenwoordig erg slecht gesteld lijkt het wel met de beveiliging. Steeds vaker komt het in de nieuws dat er hackers steeds actiever bezig zijn. Dit had ik niet verwacht met een Samsung Galaxy toestel en overige smart-tv en andere merken. Bedrijven moeten gewoon hier een halt voor roepen en sneller met beveiligingsupdates komen zodat we veilig ons werk kunnen doen. Zelfs een Norton internet security kan dit niet tegen houden? Ik gebruik op mijn Samsung Galaxy Tab S5e en mijn Galaxy S8+ Norton.

Gelukkig zet ik NFC standaard uit

[Reactie gewijzigd door van der Berg op 8 november 2019 13:15]

Mwah het is allemaal wel iets genuanceerder. Voor de TV moet je op een website zitten met de javascriptjes die misbruik maken van de vulnerability, dat doe je niet zomaar. Voor dat NFC gebeuren moet je ook nog een handeling op het apparaat verrichten.

Beveiliging van software is flink beter geworden, juist omdat er meer aandacht is. Die aandacht ervoor doet het nu lijken alsof het één groot drama is, maar dat valt wel mee. In de begintijd van Pwn2Own waren veel gaten al binnen seconden gevonden en die waren veel serieuzer dan deze. Vooral Safari op mobiel en desktop stortte samen met IE8 als een kaartenhuis in elkaar. Safari blijft een beetje hit and miss, maar Chrome, IE11 en Edge komen tegenwoordig goed uit de verf.

Bedenk ook dat ze heel wat voorbereidingstijd hebben en het meestal gewoon een demonstratie is die ze geven, ze plukken soms gewoon wat exploits van de plank die ze van tevoren hebben gevuld. Dat is pijnlijk duidelijk geworden in 2018 toen MS ook sponsor was en net voor Pwn2Own een aantal exploits patchte in Edge, waarna een aanzienlijk aantal teams dat zich daarop wilde richten zich terugtrokken. We hebben het hier dus vaak niet over ter plekke bedachte exploits.

Leuk om te weten is dat Firefox niet meegenomen werd in 2016, omdat de organisatie vond dat het te makkelijk was daar iets in te vinden. In dat jaar heeft Firefox gelukkig wat sprongen gemaakt, zodat ze in 2017 en verder weer van de partij waren. Maar alsnog, het bleef makkelijk er iets in te vinden.
Je reactie focussed zich op browsers terwijl de Pwn2Own zicht richt op devices.
Gezien de waarschuwing die het SIDN afgeeft over devices met slechte security lijkt mij een Event zoal Pwn2Own broodnodig.

https://www.security.nl/p...n+onveilige+IoT-apparaten

De focus is op snel geld verdienen. Niet op beveiliging... Zie ook Techdirt
Heeft niks met snel geld verdienen te maken. Het is gewoon een afweging tussen de hoeveelheid beveiliging en de kosten die de klant hiervoor wil dragen en mogelijke ongemakken die dit met zich mee brengt. Een auto die volledig is dichtgelast of een huis dat is dichtgespijkerd is het moeilijkst binnen te komen, maar is onbruikbaar. Een telefoon die 2 keer zo duur is omdat ze net zoveel geld in beveiligingsontwikkeling hebben gestopt dan bruikbaarheid verkoopt niet.

Uiteindelijk kiest elk bedrijf daar ergens een middenweg en mag elke consument kiezen voor een fabrikant die hier expliciet de aandacht op legt of voor een fabrikant die de focus legt op andere features (prijs, scherm, snelheid etc)
Onze huidige computers zijn hopeloos qua beveiliging. Fundamenteel.
ActiveX was erger, maar er zijn fundamentele problemen met de manier waarop componenten (niet) van elkaar zijn afgeschermd, hoe ze communiceren, programmeerstijlen waar performance voor veiligheid gaat, enzovoort.
Sorry. Dit zijn een hoop beschuldigingen zonder enige onderbouwing. Hier kan ik niks mee
Computersoftware is heel flexibel, makkelijk te maken, en (daardoor?) ongelofelijk vaak lek.
1 foutje en BAM de hele integriteit is foetsie.
Met een beetje geluk heb je dan nog een tweede doorbraak nodig (local to root escalation) - maar het blijft fragiel.
Vergelijk met je huis - je koopt een nieuwe wekkerradio. Als die een lek heeft , hoe groot is de kans dat daardoor een inbreker zomaar binnen kan komen?
Of je auto - als je verkeerde brandstof tankt sta je misschien stil. Hoe groot is de kans dat de wagen rijdt naar een bestemming waar je niet wil zijn?
Computers zijn niet zo robuust.
Pwn2Own richt zich op verschillende categorieën waar browsers een van zijn en en devices een ander. Uiteraard is er overlap want browsers draaien op bijna al die apparaten.
Of zijn de tools en haar gebruikers meer geraffineerd, die kant is er ook natuurlijk.
Respect voor deze gasten! _/-\o_ Iemand die ook weet of iPhone ook doel van een hackpoging was hiero?
Ja, zie hier.

Maar, de teams mogen zelf bepalen waar ze op richten. Aangezien in deze doelgroep Xiaomi veel interesse krijgt, ligt de focus daarop. Ook zie je dat teams naar andere ingangen kijken, zoals NFC, want daar is relatief weinig aandacht voor geweest en dat is een mooie losse categorie waar nog wat in te winnen valt. NFC is iets dat bij Apple lastiger te bereiken is, want het is Apple Pay only en Bluetooth en WiFi is niet spannend meer.

Ook zijn wearables, TV's en Home Automation als categorieën natuurlijk veel interessanter geworden, dus je ziet een duidelijke verschuiving daar naartoe. Een Google Pixel en iPhone krijgen relatief weinig aandacht.

Wat natuurlijk ook niet helpt is dat de beloning bij Apple en Google op dit moment in veel gevallen hoger is dan bij Pwn2Own.
NFC is iets dat bij Apple lastiger te bereiken is, want het is Apple Pay only
Dat is al een tijd niet meer zo: https://www.reddit.com/r/...up_misunderstandings_and/
Er vanuit gaande dat die mannen ook nog een day-job hebben is dat een hele leuke extra zakcent :) ik gok dat die wel een aantal leuke banen aangeboden krijgen.
Er vanuit gaande dat die mannen ook nog een day-job hebben is dat een hele leuke extra zakcent :) ik gok dat die wel een aantal leuke banen aangeboden krijgen.
Ik gok dat dat soort mannen en vrouwen totaal geen interesse hebben in "leuke banen" (Contradictio in terminis?) en ongeveer een miljoen per jaar binnen harken aan bug bounties. :Y)

[Reactie gewijzigd door GeoBeo op 8 november 2019 13:15]

... wisten ze via de wan-interface de firmware van de router zo aan te passen, dat ze hun payload blijvend op het apparaat achter konden laten
Damn. Die zin klinkt niet zo heel spectaculair maar dat is het wel.
Wat zegt dit over de beveiliging van de S10 in relatie tot het KNOX platform van Samsung?
Ja dat was ook mijn eerste gedachte. Maar terwijl ik dit typ vraag of ik me af in hoeverre KNOX voor de gewone consument geactiveerd is, volgens was dat ooit wel maar nu niet meer toch?
De S10-serie wordt ook veel gebruikt in zakelijke omgeving, zeker als Enterprise Edition. Daarom vraag ik me af wat de impact van deze hack is op de KNOX beveiliging.
Jammer dat er geen apple bij zat
Jammer genoeg niet voor ios 13
Juist wel, de X en alle oudere devices zijn dankzij checkm8 voor eeuwig jailbreakbaar. checkra1n wordt later vandaag gedropt.
Laat jij maar een jailbreak zien voor de laatste ios versie
Laat ze de Facebook Portal maar eens hacken, zodat je er een andere Android-installatie op kan zetten. Ik vind het een mooi ding om te gebruiken icm mijn Homey (als dashboard), maar dat kan nu niet en ik wil dat niet, omdat het van Facebook komt.
Technisch en designerwijs gezien is het gewoon een mooi ding.
Ik was benieuwd naar het product, en ook ik vind ze er mooi uitzien! Ik las ook dat deze schermen onderdeel waren van Pwn2Own maar dat ze niet gekraakt waren. Bron: https://www.zdnet.com/art...t-amazon-echo-got-hacked/
Wel benieuwd waarom specifiek Xiaomi is gekozen. Ook waarom specifiek de Mi9.
Die zijn natuurlijk enorm opkomend, voornamelijk buiten de Chinese markt. De Mi9 is officieel nog steeds hun vlaggenschip dus wel een mooie keuze om daar mee aan de slag te gaan.

Er zal nog wel vaker Xiaomi langskomen op dit gebied omdat deze een gigantisch portfolio aan IoT en andere IT-gadgets hebben. Leuk stukje over de Robotstofzuiger van dit merk:
https://www.kaspersky.nl/blog/xiaomi-mi-robot-hacked/23808/

En zo zal er nog wel meer volgen


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Elektrisch rijden

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True