Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Hackers kraken Amazon Echo en Samsung Galaxy S10 bij Pwn2Own-competitie

Bij de Pwn2Own-competitie in Tokio hebben deelnemers tal van apparaten gekraakt via nog onbekende kwetsbaarheden. Onder andere de Amazon Echo, smart-tv's van Samsung en Sony, de Xiaomi Mi 9, de Samsung Galaxy S10 en verschillende routers vielen ten prooi.

De meest aansprekende hacks kwamen van de hand van team Fluoroacetate. Het duo kraakte op de eerste dag eerst de Sony X800G via de browser van de televisie en vervolgens een Amazon Echo Show 5-speaker en Samsung Q60-tv, beide via een integer overflow in javascript. Het team had daarna nog tijd om een javascript-bug in een Xiaomi Mi 9 uit te buiten om een afbeelding aan het toestel te onttrekken. Op dag twee van de competitie onderscheidde Fluoroacetate zich met hacks van een Samsung S10. Het tweetal wist een bestand op het toestel te krijgen door een eigen basisstation in te zetten. In totaal wist Fluoracetate zo 195.000 dollar en 18,5 punten te scoren, voldoende voor de titel Master of Pwn.

De nieuwkomers van team Flashback richtten zich op de eerste dag op een Netgear Nighthawk R6700, die ze via een buffer overflow wisten binnen te dringen en ook wisten ze via de wan-interface de firmware van de router zo aan te passen, dat ze hun payload blijvend op het apparaat achter konden laten.

Het derde team van de competitie, F-Secure Labs, richtte zich op een nfc-onderdeel van de Xiaomi Mi 9. Met een speciaal vervaardigde nfc-tag wist het team een cross-site scripting-bug in het onderdeel uit te buiten om zo een afbeelding aan het toestel te onttrekken.

Pwn2Own is een competitie voor hackers die twee keer per jaar plaatsvindt en gehouden wordt op initiatief van het Zero Day Initiative van Trend Micro. Het doel is om zoveel mogelijk nog onbekende kwetsbaarheden aan het licht te brengen.

Door Olaf van Miltenburg

Nieuwscoördinator

08-11-2019 • 12:42

32 Linkedin Google+

Submitter: TheVivaldi

Reacties (32)

Wijzig sortering
Mwah het is allemaal wel iets genuanceerder. Voor de TV moet je op een website zitten met de javascriptjes die misbruik maken van de vulnerability, dat doe je niet zomaar. Voor dat NFC gebeuren moet je ook nog een handeling op het apparaat verrichten.

Beveiliging van software is flink beter geworden, juist omdat er meer aandacht is. Die aandacht ervoor doet het nu lijken alsof het één groot drama is, maar dat valt wel mee. In de begintijd van Pwn2Own waren veel gaten al binnen seconden gevonden en die waren veel serieuzer dan deze. Vooral Safari op mobiel en desktop stortte samen met IE8 als een kaartenhuis in elkaar. Safari blijft een beetje hit and miss, maar Chrome, IE11 en Edge komen tegenwoordig goed uit de verf.

Bedenk ook dat ze heel wat voorbereidingstijd hebben en het meestal gewoon een demonstratie is die ze geven, ze plukken soms gewoon wat exploits van de plank die ze van tevoren hebben gevuld. Dat is pijnlijk duidelijk geworden in 2018 toen MS ook sponsor was en net voor Pwn2Own een aantal exploits patchte in Edge, waarna een aanzienlijk aantal teams dat zich daarop wilde richten zich terugtrokken. We hebben het hier dus vaak niet over ter plekke bedachte exploits.

Leuk om te weten is dat Firefox niet meegenomen werd in 2016, omdat de organisatie vond dat het te makkelijk was daar iets in te vinden. In dat jaar heeft Firefox gelukkig wat sprongen gemaakt, zodat ze in 2017 en verder weer van de partij waren. Maar alsnog, het bleef makkelijk er iets in te vinden.
Heeft niks met snel geld verdienen te maken. Het is gewoon een afweging tussen de hoeveelheid beveiliging en de kosten die de klant hiervoor wil dragen en mogelijke ongemakken die dit met zich mee brengt. Een auto die volledig is dichtgelast of een huis dat is dichtgespijkerd is het moeilijkst binnen te komen, maar is onbruikbaar. Een telefoon die 2 keer zo duur is omdat ze net zoveel geld in beveiligingsontwikkeling hebben gestopt dan bruikbaarheid verkoopt niet.

Uiteindelijk kiest elk bedrijf daar ergens een middenweg en mag elke consument kiezen voor een fabrikant die hier expliciet de aandacht op legt of voor een fabrikant die de focus legt op andere features (prijs, scherm, snelheid etc)
Ja, zie hier.

Maar, de teams mogen zelf bepalen waar ze op richten. Aangezien in deze doelgroep Xiaomi veel interesse krijgt, ligt de focus daarop. Ook zie je dat teams naar andere ingangen kijken, zoals NFC, want daar is relatief weinig aandacht voor geweest en dat is een mooie losse categorie waar nog wat in te winnen valt. NFC is iets dat bij Apple lastiger te bereiken is, want het is Apple Pay only en Bluetooth en WiFi is niet spannend meer.

Ook zijn wearables, TV's en Home Automation als categorieën natuurlijk veel interessanter geworden, dus je ziet een duidelijke verschuiving daar naartoe. Een Google Pixel en iPhone krijgen relatief weinig aandacht.

Wat natuurlijk ook niet helpt is dat de beloning bij Apple en Google op dit moment in veel gevallen hoger is dan bij Pwn2Own.


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Elektrische auto

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True