Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Hackers kraken Amazon Echo en Samsung Galaxy S10 bij Pwn2Own-competitie

Bij de Pwn2Own-competitie in Tokio hebben deelnemers tal van apparaten gekraakt via nog onbekende kwetsbaarheden. Onder andere de Amazon Echo, smart-tv's van Samsung en Sony, de Xiaomi Mi 9, de Samsung Galaxy S10 en verschillende routers vielen ten prooi.

De meest aansprekende hacks kwamen van de hand van team Fluoroacetate. Het duo kraakte op de eerste dag eerst de Sony X800G via de browser van de televisie en vervolgens een Amazon Echo Show 5-speaker en Samsung Q60-tv, beide via een integer overflow in javascript. Het team had daarna nog tijd om een javascript-bug in een Xiaomi Mi 9 uit te buiten om een afbeelding aan het toestel te onttrekken. Op dag twee van de competitie onderscheidde Fluoroacetate zich met hacks van een Samsung S10. Het tweetal wist een bestand op het toestel te krijgen door een eigen basisstation in te zetten. In totaal wist Fluoracetate zo 195.000 dollar en 18,5 punten te scoren, voldoende voor de titel Master of Pwn.

De nieuwkomers van team Flashback richtten zich op de eerste dag op een Netgear Nighthawk R6700, die ze via een buffer overflow wisten binnen te dringen en ook wisten ze via de wan-interface de firmware van de router zo aan te passen, dat ze hun payload blijvend op het apparaat achter konden laten.

Het derde team van de competitie, F-Secure Labs, richtte zich op een nfc-onderdeel van de Xiaomi Mi 9. Met een speciaal vervaardigde nfc-tag wist het team een cross-site scripting-bug in het onderdeel uit te buiten om zo een afbeelding aan het toestel te onttrekken.

Pwn2Own is een competitie voor hackers die twee keer per jaar plaatsvindt en gehouden wordt op initiatief van het Zero Day Initiative van Trend Micro. Het doel is om zoveel mogelijk nog onbekende kwetsbaarheden aan het licht te brengen.

Door Olaf van Miltenburg

Nieuwscoördinator

08-11-2019 • 12:42

32 Linkedin Google+

Submitter: TheVivaldi

Reacties (32)

Wijzig sortering
Computersoftware is heel flexibel, makkelijk te maken, en (daardoor?) ongelofelijk vaak lek.
1 foutje en BAM de hele integriteit is foetsie.
Met een beetje geluk heb je dan nog een tweede doorbraak nodig (local to root escalation) - maar het blijft fragiel.
Vergelijk met je huis - je koopt een nieuwe wekkerradio. Als die een lek heeft , hoe groot is de kans dat daardoor een inbreker zomaar binnen kan komen?
Of je auto - als je verkeerde brandstof tankt sta je misschien stil. Hoe groot is de kans dat de wagen rijdt naar een bestemming waar je niet wil zijn?
Computers zijn niet zo robuust.
Pwn2Own richt zich op verschillende categorieën waar browsers een van zijn en en devices een ander. Uiteraard is er overlap want browsers draaien op bijna al die apparaten.
Of zijn de tools en haar gebruikers meer geraffineerd, die kant is er ook natuurlijk.
Ja dat was ook mijn eerste gedachte. Maar terwijl ik dit typ vraag of ik me af in hoeverre KNOX voor de gewone consument geactiveerd is, volgens was dat ooit wel maar nu niet meer toch?
De S10-serie wordt ook veel gebruikt in zakelijke omgeving, zeker als Enterprise Edition. Daarom vraag ik me af wat de impact van deze hack is op de KNOX beveiliging.
Wel benieuwd waarom specifiek Xiaomi is gekozen. Ook waarom specifiek de Mi9.
Die zijn natuurlijk enorm opkomend, voornamelijk buiten de Chinese markt. De Mi9 is officieel nog steeds hun vlaggenschip dus wel een mooie keuze om daar mee aan de slag te gaan.

Er zal nog wel vaker Xiaomi langskomen op dit gebied omdat deze een gigantisch portfolio aan IoT en andere IT-gadgets hebben. Leuk stukje over de Robotstofzuiger van dit merk:
https://www.kaspersky.nl/blog/xiaomi-mi-robot-hacked/23808/

En zo zal er nog wel meer volgen


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Elektrische auto

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True