Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

Hackers kraken Amazon Echo en Samsung Galaxy S10 bij Pwn2Own-competitie

Bij de Pwn2Own-competitie in Tokio hebben deelnemers tal van apparaten gekraakt via nog onbekende kwetsbaarheden. Onder andere de Amazon Echo, smart-tv's van Samsung en Sony, de Xiaomi Mi 9, de Samsung Galaxy S10 en verschillende routers vielen ten prooi.

De meest aansprekende hacks kwamen van de hand van team Fluoroacetate. Het duo kraakte op de eerste dag eerst de Sony X800G via de browser van de televisie en vervolgens een Amazon Echo Show 5-speaker en Samsung Q60-tv, beide via een integer overflow in javascript. Het team had daarna nog tijd om een javascript-bug in een Xiaomi Mi 9 uit te buiten om een afbeelding aan het toestel te onttrekken. Op dag twee van de competitie onderscheidde Fluoroacetate zich met hacks van een Samsung S10. Het tweetal wist een bestand op het toestel te krijgen door een eigen basisstation in te zetten. In totaal wist Fluoracetate zo 195.000 dollar en 18,5 punten te scoren, voldoende voor de titel Master of Pwn.

De nieuwkomers van team Flashback richtten zich op de eerste dag op een Netgear Nighthawk R6700, die ze via een buffer overflow wisten binnen te dringen en ook wisten ze via de wan-interface de firmware van de router zo aan te passen, dat ze hun payload blijvend op het apparaat achter konden laten.

Het derde team van de competitie, F-Secure Labs, richtte zich op een nfc-onderdeel van de Xiaomi Mi 9. Met een speciaal vervaardigde nfc-tag wist het team een cross-site scripting-bug in het onderdeel uit te buiten om zo een afbeelding aan het toestel te onttrekken.

Pwn2Own is een competitie voor hackers die twee keer per jaar plaatsvindt en gehouden wordt op initiatief van het Zero Day Initiative van Trend Micro. Het doel is om zoveel mogelijk nog onbekende kwetsbaarheden aan het licht te brengen.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Olaf van Miltenburg

Nieuwscoördinator

Feedback • 08-11-2019 12:42
32 • submitter: TheVivaldi

08-11-2019 • 12:42

32 Linkedin

Submitter: TheVivaldi

Lees meer

Nederlandse hackers vinden kwetsbaarheid in Zoom tijdens Pwn2Own-hackwedstrijd Nieuws van 7 april 2021
Xiaomi presenteert in India speaker met Google Assistant Nieuws van 29 september 2020
Hackers kraken browser van Tesla-infotainmentsysteem bij Pwn2Own Nieuws van 25 maart 2019
Onderzoekers vinden twee zerodaylekken in Safari bij Pwn2Own Nieuws van 21 maart 2019
Firefox, Edge en Safari vallen ten prooi aan Pwn2Own-hackers Nieuws van 16 maart 2018
Meer producten en artikelen
Beveiliging en antivirus Hackers Veiligheid

Reacties (32)

-Moderatie-faq
-132029+112+23+30Ongemodereerd7
Wijzig sortering
+1van der Berg
8 november 2019 13:14
Het is tegenwoordig erg slecht gesteld lijkt het wel met de beveiliging. Steeds vaker komt het in de nieuws dat er hackers steeds actiever bezig zijn. Dit had ik niet verwacht met een Samsung Galaxy toestel en overige smart-tv en andere merken. Bedrijven moeten gewoon hier een halt voor roepen en sneller met beveiligingsupdates komen zodat we veilig ons werk kunnen doen. Zelfs een Norton internet security kan dit niet tegen houden? Ik gebruik op mijn Samsung Galaxy Tab S5e en mijn Galaxy S8+ Norton.

Gelukkig zet ik NFC standaard uit

[Reactie gewijzigd door van der Berg op 8 november 2019 13:15]

+2fapkonijntje
@van der Berg8 november 2019 13:50
Mwah het is allemaal wel iets genuanceerder. Voor de TV moet je op een website zitten met de javascriptjes die misbruik maken van de vulnerability, dat doe je niet zomaar. Voor dat NFC gebeuren moet je ook nog een handeling op het apparaat verrichten.

Beveiliging van software is flink beter geworden, juist omdat er meer aandacht is. Die aandacht ervoor doet het nu lijken alsof het één groot drama is, maar dat valt wel mee. In de begintijd van Pwn2Own waren veel gaten al binnen seconden gevonden en die waren veel serieuzer dan deze. Vooral Safari op mobiel en desktop stortte samen met IE8 als een kaartenhuis in elkaar. Safari blijft een beetje hit and miss, maar Chrome, IE11 en Edge komen tegenwoordig goed uit de verf.

Bedenk ook dat ze heel wat voorbereidingstijd hebben en het meestal gewoon een demonstratie is die ze geven, ze plukken soms gewoon wat exploits van de plank die ze van tevoren hebben gevuld. Dat is pijnlijk duidelijk geworden in 2018 toen MS ook sponsor was en net voor Pwn2Own een aantal exploits patchte in Edge, waarna een aanzienlijk aantal teams dat zich daarop wilde richten zich terugtrokken. We hebben het hier dus vaak niet over ter plekke bedachte exploits.

Leuk om te weten is dat Firefox niet meegenomen werd in 2016, omdat de organisatie vond dat het te makkelijk was daar iets in te vinden. In dat jaar heeft Firefox gelukkig wat sprongen gemaakt, zodat ze in 2017 en verder weer van de partij waren. Maar alsnog, het bleef makkelijk er iets in te vinden.
+1EdwinHamers
@fapkonijntje8 november 2019 15:14
Je reactie focussed zich op browsers terwijl de Pwn2Own zicht richt op devices.
Gezien de waarschuwing die het SIDN afgeeft over devices met slechte security lijkt mij een Event zoal Pwn2Own broodnodig.

https://www.security.nl/p...n+onveilige+IoT-apparaten

De focus is op snel geld verdienen. Niet op beveiliging... Zie ook Techdirt
+2arjandijk162
@EdwinHamers8 november 2019 16:10
Heeft niks met snel geld verdienen te maken. Het is gewoon een afweging tussen de hoeveelheid beveiliging en de kosten die de klant hiervoor wil dragen en mogelijke ongemakken die dit met zich mee brengt. Een auto die volledig is dichtgelast of een huis dat is dichtgespijkerd is het moeilijkst binnen te komen, maar is onbruikbaar. Een telefoon die 2 keer zo duur is omdat ze net zoveel geld in beveiligingsontwikkeling hebben gestopt dan bruikbaarheid verkoopt niet.

Uiteindelijk kiest elk bedrijf daar ergens een middenweg en mag elke consument kiezen voor een fabrikant die hier expliciet de aandacht op legt of voor een fabrikant die de focus legt op andere features (prijs, scherm, snelheid etc)
0sympa
@arjandijk1629 november 2019 16:27
Onze huidige computers zijn hopeloos qua beveiliging. Fundamenteel.
ActiveX was erger, maar er zijn fundamentele problemen met de manier waarop componenten (niet) van elkaar zijn afgeschermd, hoe ze communiceren, programmeerstijlen waar performance voor veiligheid gaat, enzovoort.
0arjandijk162
@sympa9 november 2019 18:48
Sorry. Dit zijn een hoop beschuldigingen zonder enige onderbouwing. Hier kan ik niks mee
0sympa
@arjandijk1629 november 2019 22:27
Computersoftware is heel flexibel, makkelijk te maken, en (daardoor?) ongelofelijk vaak lek.
1 foutje en BAM de hele integriteit is foetsie.
Met een beetje geluk heb je dan nog een tweede doorbraak nodig (local to root escalation) - maar het blijft fragiel.
Vergelijk met je huis - je koopt een nieuwe wekkerradio. Als die een lek heeft , hoe groot is de kans dat daardoor een inbreker zomaar binnen kan komen?
Of je auto - als je verkeerde brandstof tankt sta je misschien stil. Hoe groot is de kans dat de wagen rijdt naar een bestemming waar je niet wil zijn?
Computers zijn niet zo robuust.
0fapkonijntje
@EdwinHamers8 november 2019 15:19
Pwn2Own richt zich op verschillende categorieën waar browsers een van zijn en en devices een ander. Uiteraard is er overlap want browsers draaien op bijna al die apparaten.
0SkyStreaker
@van der Berg8 november 2019 21:56
Of zijn de tools en haar gebruikers meer geraffineerd, die kant is er ook natuurlijk.
+1alfredjodocus
8 november 2019 13:12
Respect voor deze gasten! _/-\o_ Iemand die ook weet of iPhone ook doel van een hackpoging was hiero?
+2fapkonijntje
@alfredjodocus8 november 2019 13:57
Ja, zie hier.

Maar, de teams mogen zelf bepalen waar ze op richten. Aangezien in deze doelgroep Xiaomi veel interesse krijgt, ligt de focus daarop. Ook zie je dat teams naar andere ingangen kijken, zoals NFC, want daar is relatief weinig aandacht voor geweest en dat is een mooie losse categorie waar nog wat in te winnen valt. NFC is iets dat bij Apple lastiger te bereiken is, want het is Apple Pay only en Bluetooth en WiFi is niet spannend meer.

Ook zijn wearables, TV's en Home Automation als categorieën natuurlijk veel interessanter geworden, dus je ziet een duidelijke verschuiving daar naartoe. Een Google Pixel en iPhone krijgen relatief weinig aandacht.

Wat natuurlijk ook niet helpt is dat de beloning bij Apple en Google op dit moment in veel gevallen hoger is dan bij Pwn2Own.
+1Rafe
@fapkonijntje8 november 2019 14:40
NFC is iets dat bij Apple lastiger te bereiken is, want het is Apple Pay only
Dat is al een tijd niet meer zo: https://www.reddit.com/r/...up_misunderstandings_and/
+1Rataplan_
8 november 2019 12:53
Er vanuit gaande dat die mannen ook nog een day-job hebben is dat een hele leuke extra zakcent :) ik gok dat die wel een aantal leuke banen aangeboden krijgen.
+1GeoBeo
@Rataplan_8 november 2019 13:14
Er vanuit gaande dat die mannen ook nog een day-job hebben is dat een hele leuke extra zakcent :) ik gok dat die wel een aantal leuke banen aangeboden krijgen.
Ik gok dat dat soort mannen en vrouwen totaal geen interesse hebben in "leuke banen" (Contradictio in terminis?) en ongeveer een miljoen per jaar binnen harken aan bug bounties. :Y)

[Reactie gewijzigd door GeoBeo op 8 november 2019 13:15]

+1Mavamaarten
8 november 2019 13:09
... wisten ze via de wan-interface de firmware van de router zo aan te passen, dat ze hun payload blijvend op het apparaat achter konden laten
Damn. Die zin klinkt niet zo heel spectaculair maar dat is het wel.
+1Jos_M
8 november 2019 13:15
Wat zegt dit over de beveiliging van de S10 in relatie tot het KNOX platform van Samsung?
0Call of Duty
@Jos_M11 november 2019 09:15
Ja dat was ook mijn eerste gedachte. Maar terwijl ik dit typ vraag of ik me af in hoeverre KNOX voor de gewone consument geactiveerd is, volgens was dat ooit wel maar nu niet meer toch?
0Jos_M
@Call of Duty11 november 2019 11:34
De S10-serie wordt ook veel gebruikt in zakelijke omgeving, zeker als Enterprise Edition. Daarom vraag ik me af wat de impact van deze hack is op de KNOX beveiliging.
0juliank
8 november 2019 13:11
Jammer dat er geen apple bij zat
+1Blizz
@juliank8 november 2019 13:18
Geen zorgen, de jailbreak komt later vandaag uit.
0juliank
@Blizz8 november 2019 13:36
Jammer genoeg niet voor ios 13
0Blizz
@juliank8 november 2019 15:35
Juist wel, de X en alle oudere devices zijn dankzij checkm8 voor eeuwig jailbreakbaar. checkra1n wordt later vandaag gedropt.
0juliank
@Blizz8 november 2019 17:18
Laat jij maar een jailbreak zien voor de laatste ios versie
0RVervuurt
8 november 2019 12:52
Laat ze de Facebook Portal maar eens hacken, zodat je er een andere Android-installatie op kan zetten. Ik vind het een mooi ding om te gebruiken icm mijn Homey (als dashboard), maar dat kan nu niet en ik wil dat niet, omdat het van Facebook komt.
Technisch en designerwijs gezien is het gewoon een mooi ding.
0consolefreak
@RVervuurt8 november 2019 13:09
Ik was benieuwd naar het product, en ook ik vind ze er mooi uitzien! Ik las ook dat deze schermen onderdeel waren van Pwn2Own maar dat ze niet gekraakt waren. Bron: https://www.zdnet.com/art...t-amazon-echo-got-hacked/
0Xfade
8 november 2019 15:37
Wel benieuwd waarom specifiek Xiaomi is gekozen. Ook waarom specifiek de Mi9.
0Call of Duty
@Xfade11 november 2019 09:20
Die zijn natuurlijk enorm opkomend, voornamelijk buiten de Chinese markt. De Mi9 is officieel nog steeds hun vlaggenschip dus wel een mooie keuze om daar mee aan de slag te gaan.

Er zal nog wel vaker Xiaomi langskomen op dit gebied omdat deze een gigantisch portfolio aan IoT en andere IT-gadgets hebben. Leuk stukje over de Robotstofzuiger van dit merk:
https://www.kaspersky.nl/blog/xiaomi-mi-robot-hacked/23808/

En zo zal er nog wel meer volgen

Op dit item kan niet meer gereageerd worden.

Apple iPhone 12 Microsoft Xbox Series X LG CX Google Pixel 5 Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True