Onderzoekers hebben een kwetsbaarheid in Sonos-speakers ontdekt waarmee het mogelijk was om van afstand de microfoon te activeren en audio-opnames te ontfutselen. De fabrikant heeft het probleem eind vorig jaar opgelost.

Het gaat om de kwetsbaarheid CVE-2023-50809. Daarmee zou een aanvaller op afstand code kunnen injecteren. Volgens Sonos bevond de kwetsbaarheid zich in een draadloze driver die bij het uitvoeren van een WPA2-handshake bepaalde informatie niet goed kon valideren. Op dat moment kon een aanvaller op wifiafstand code uitvoeren in de kernel.

Onderzoekers van NCC Group beweren in een whitepaper dat ze hiermee Sonos One- en Era 100-speaker konden overnemen, in het geheim audio konden opnemen, en die opnames vervolgens konden doorsturen naar hun servers. In een video tonen de onderzoekers hoe dit in zijn werk gaat.

De onderzoekers hebben Sonos vorig jaar op de hoogte gesteld van het probleem. De fabrikant heeft de kwetsbaarheid verholpen in Sonos S2-versie 15.9 en Sonos S1 11.12. Die werden in oktober en november 2023 uitgebracht. MediaTek, de maker van de wifichip die in de speakers wordt gebruikt, kwam in maart ook met een fix. Het bestaan van de kwetsbaarheid is nu pas openbaar gemaakt.

Signal is niet meer toegankelijk in Rusland. Ook in Venezuela lijkt de versleuteldeberichtendienst geblokkeerd te zijn. Volgens de Russische telecomwaakhond heeft Signal de wetgeving geschonden. In Venezuela zouden de hevige protesten aan de blokkade ten grondslag liggen.

De Russische communicatietoezichthouder Roskomnadzor laat aan het persbureau Interfax weten dat de toegang tot Signal is ontzegd 'vanwege schendingen van de Russische wetgeving'. Volgens de waakhond zijn de wettelijke vereisten om te voorkomen dat de dienst gebruikt wordt voor 'terroristische en extremistische doeleinden' geschonden, al wordt hier niet verder op ingegaan. Rusland blokkeerde in 2018 de chatdienst Telegram. Die blokkade werd twee jaar later opgeheven. Eerder deze week heeft het land ook de toegang tot YouTube ontzegd.

Volgens tv-zender MSNBC heeft ook Venezuela Signal geblokkeerd, al is dat nog niet officieel bevestigd. Deze blokkade zou te maken hebben met de hevige protesten die er momenteel gaande zijn naar aanleiding van de presidentsverkiezingen. De Venezolaanse president Nicolás Maduro, die door de oppositie wordt beschuldigd van verkiezingsfraude, heeft de afgelopen weken meermaals uitgehaald naar Amerikaanse techbedrijven. Zo riep hij zijn aanhangers op om WhatsApp in de ban te doen, omdat de app volgens Maduro wordt gebruikt om de families van politieagenten en soldaten te bedreigen. Ook beweert hij dat Elon Musk de drijvende kracht is achter de protesten en onenigheid na de verkiezingen. Om die reden heeft hij donderdag al de toegang tot zijn socialemediaplatform X voor tien dagen geblokkeerd.

Netblocks, die internetstoringen in de gaten houdt, bevestigt dat Signal in Rusland en Venezuela bij de meeste internetproviders niet meer bereikbaar is. Wel zou de dienst voor bestaande gebruikers bruikbaar blijven als ze in de appinstellingen de optie Censorship circumvention aanzetten. Signal bevestigt op X dat de app in 'meerdere landen' is geblokkeerd en raadt tevens aan om deze functie te activeren.

Advertentiecoalitie GARM stopt met zijn werkzaamheden. De groep werd eerder deze week aangeklaagd door X omdat diens leden het socialemediaplatform illegaal zouden boycotten. Hierdoor heeft GARM naar eigen zeggen onvoldoende middelen om te kunnen blijven opereren.

De World Federation of Advertisers, waar GARM onder valt, laat in een verklaring op zijn site weten dat het initiatief wordt ontbonden. "GARM is een klein initiatief zonder winstoogmerk. Recente beschuldigingen die het doel en de activiteiten van de coalitie verkeerd interpreteren hebben er helaas voor gezorgd dat diens middelen en financiën aanzienlijk zijn uitgeput. WFA neemt daarom het moeilijke besluit om de activiteiten van GARM te staken."

Enkele dagen geleden klaagde X de advertentiecoalitie aan. Het socialemediaplatform beweerde dat de leden van het collectief zich hebben georganiseerd om 'gezamenlijk Twitter miljarden dollars aan advertentieopbrengsten te ontzeggen'. Volgens het platform misbruikt de coalitie daarmee haar machtspositie op de advertentiemarkt, wat in strijd zou zijn met antitrustwetgeving. CNN schrijft dat GARM wel nog van plan is om zichzelf te verdedigen tijdens de rechtszaak.

GARM, of Global Alliance for Responsible Media, is in 2019 opgericht als initiatief om het sponsoren van illegale of schadelijke content via advertenties te beperken. Onder het initiatief vallen bedrijven als Unilever, Mars, apothekersconcern CVS Health en energiereus Ørsted. De vermeende boycot begon nadat X werd overgenomen door Elon Musk. De GARM-coalitie was naar verluidt bezorgd dat na de overname werd afgeweken van bepaalde veiligheidsstandaarden en heeft die zorgen geuit bij haar leden.

Onderzoekers waarschuwen voor een kwetsbaarheid in AMD-processors waardoor hackers, grotendeels zonder sporen achter te laten, malware kunnen installeren. De bug is volgens de onderzoekers in bijna alle AMD-cpu's aanwezig. Wel is er kerneltoegang nodig om deze te misbruiken.

De kwetsbaarheid zorgt ervoor dat kwaadwillenden met toegang op kernelniveau, ook toegang kunnen krijgen tot de System Management Mode, of SMM, van de AMD-processors. Dat laten de onderzoekers van beveiligingsbedrijf IOActive weten aan Wired. SMM is een diepe beheerderslaag met hoge toegangsniveaus die normaal alleen voor de cpu toegankelijk is.

Met deze toegang kunnen aanvallers de beveiligingsfuncties van de chip uitschakelen en bootkitmalware injecteren, zonder dat dit wordt opgemerkt door het besturingssysteem of antivirussoftware, stellen de onderzoekers. Een hacker zou daardoor het systeem volledig kunnen overnemen en de activiteiten kunnen monitoren. De kwetsbaarheid zou al sinds 2006 aanwezig zijn in vrijwel alle AMD-processors. Aangezien deze pas nu is ontdekt, is de bug waarschijnlijk nog niet misbruikt.

Bij systemen waarop AMD's hardwarevalidatiesysteem Platform Secure Boot verkeerd geconfigureerd is, zou een Sinkclose-aanval ook moeilijk op te lossen zijn. Onder meer het opnieuw installeren van het besturingssysteem is dan niet voldoende om de malware te verwijderen. Volgens de onderzoekers was dat het geval bij het gros van de geteste systemen. In dat soort gevallen kunnen gebruikers de malware alleen verwijderen door hun processor fysiek te verbinden met de tool SPI Flash en grondig door het geheugen te graven, wordt er gesteld.

AMD bevestigt tegenover Wired de bevindingen van de onderzoekers. De fabrikant heeft patches voor zijn EPYC-datacenterprocessors en enkele Ryzen-cpu's uitgebracht om de problemen te 'beperken'. Binnenkort moeten er ook oplossingen komen voor embedded AMD-chips, die bijvoorbeeld in industriële apparaten en auto's verwerkt zitten. De fabrikant heeft op zijn site een lijst met kwetsbare chips gepubliceerd. De kwetsbaarheid heeft het kenmerk CVE-2023-31315 meegekregen met een CVSS-score van 7.5.

AMD benadrukt dat de kwetsbaarheid erg lastig uit te buiten is, aangezien hackers daarvoor al toegang moeten hebben tot de kernel van een systeem. De fabrikant vergelijkt de bug met een methode om de kluizen van een bank te openen terwijl de alarmen, bewakers en kluisdeur al zijn omzeild. IOActive beweert dat er regelmatig kwetsbaarheden worden ontdekt en uitgebuit waardoor aanvallers toegang kunnen krijgen tot de kernels van computers, waardoor het weldegelijk mogelijk is om Sinkclose te misbruiken.

Susan Wojcicki is op 56-jarige leeftijd overleden aan de gevolgen van kanker. Ze werkte sinds 1999 voor Google en was negen jaar lang het hoofd van YouTube. Begin 2023 trad ze om persoonlijke redenen af.

Het nieuws van Wojcicki's overlijden werd zaterdagochtend naar buiten gebracht door haar man Dennis Troper en Google-ceo Sundar Pichai. Ze leefde twee jaar met niet-kleincellige longkanker. Wojcicki heeft vijf kinderen. Een van haar zoons, de 19-jarige Marco Troper, overleed eerder dit jaar aan een drugsoverdosis.

De Amerikaanse vrouw was bevriend met Google-oprichters Larry Page en Sergey Brin, aan wie ze in 1998 haar garage verhuurde. In die garage werd het bedrijf de eerste paar maanden gerund. Een jaar later werd Wojcicki de zestiende werknemer van Google, toen ze marketingmanager van de zoekmachine werd. Ze heeft sindsdien onder meer geholpen met het opzetten van de AdSense-afdeling en Googles Images-dienst.

In 2006 stond Wojcicki aan het hoofd van Google Video. Ze zag dat het pas opgerichte videoplatform YouTube populairder was en spoorde het hoofd van Google aan om deze dienst over te nemen, liet de topvrouw in 2011 weten in een interview met The Mercury News. In 2014 werd ze ceo van YouTube. In de negen jaar dat ze aan het roer stond, groeide de omzet van de Google-dochter van 4 miljard naar 31 miljard dollar per jaar. In februari 2023 verliet ze haar functie. Ze vertelde dat ze ging beginnen aan 'een nieuw hoofdstuk dat draait om mijn familie, gezondheid en persoonlijke projecten die me aan het hart gaan'.

Beveiligingsonderzoekers hebben een kwetsbaarheid ontdekt in een veelgebruikte RISC-V-cpu. De bug maakt het mogelijk om volledige controle over de XuanTie C910 en de C920 te krijgen, zoals het uitvoeren van code of het achterhalen van informatie. Er is een mitigatie, maar de onderzoekers vertellen aan Tweakers dat het niet mogelijk is het probleem met een microcodepatch op te lossen.

Het onderzoek werd uitgevoerd door een groep beveiligingsonderzoekers van het CISPA Helmholtz Center in Duitsland. De groep heeft de bug GhostWrite genoemd. GhostWrite is een bug in de XuanTie C910 en C920 die door het Chinese bedrijf T-Head wordt gemaakt. Dat is een van de meestvoorkomende chips op basis van de RISC-V-architectuur, die in onder andere in servers en singleboardcomputers wordt gebruikt. Maar, benadrukken de onderzoekers, het gaat niet om een kwetsbaarheid in RISC-V. "Het gaat hier specifiek om deze chips", zegt Fabian Thomas tegen Tweakers. De onderzoekers presenteren hun bevindingen op de BlackHat-securityconferentie in Las Vegas.

De kwetsbaarheid maakt het mogelijk voor een normale gebruiker om instructies te schrijven naar iedere willekeurige locatie in het fysieke geheugen. "Dat maakt het bijvoorbeeld mogelijk om gegevens uit te lezen, authenticatie te omzeilen of gegevens aan te passen", leggen de onderzoekers uit. "De bug maakt het mogelijk om code uit te voeren vanuit ieder punt in de user space. Daar is dus ook geen authenticatie voor nodig."

GhostWrite verschilt volgens de onderzoekers van andere cpu-bugs, die in de laatste jaren steeds vaker aan het licht kwamen. Heartbleed en Zenbleed waren speculative execution-bugs en dat is volgens Thomas hier niet het geval. "Bij speculative of transitive execution-bugs probeer je informatie te onderscheppen tijdens het uitvoeren van een actie. Dat is op zichzelf al ingewikkeld om uit te voeren; je moet bijvoorbeeld meerdere exploitstappen uitvoeren voor je iets kunt achterhalen en je moet gebruikmaken van timings en caches. Dat is hier niet het geval." Dat maakt het ook meteen veel simpeler om de aanval uit te voeren, zegt Thomas.

Fuzzing

De onderzoekers vonden de bug via differential fuzzing. "Daarbij pakken we allerlei verschillende hardware zoals cpu's, gooien we er output doorheen en kijken we hoe het zich gedraagt." Als vervolgens een van de cpu's afwijkend gedrag vertoont, weet de onderzoeker dat daar ergens iets gebeurt dat niet de bedoeling is. "Dat is wat ook hier gebeurde", zegt Thomas. "Ik begon een proces en al na een minuut crashte de machine waar de C910-cpu in zat. Toen wist ik dat daar iets mis was; dat zou niet moeten gebeuren. Het enige dat we deden was het draaien van een rechtenloos proces; daar zou een heel systeem niet van moeten crashen."

Het opvallende aan de kwetsbaarheid is dat Thomas en zijn team de details ervan niet helemaal begrijpen. "We hebben alleen een hypothese, maar omdat we niet de broncode van deze cpu hebben, weten we ook niet precies wat er misgaat. We weten wat er gebeurt, namelijk dat als we een bepaalde instructie opgeven, er direct naar fysiek geheugen wordt geschreven. Maar we weten niet waarom dat gebeurt. Mijn idee is dat we een integer overflow veroorzaken."

Disclosure

Thomas en het team deelden hun bevindingen begin dit jaar met de fabrikant als onderdeel van het responsibledisclosureproces. "We kregen niet echt gedetailleerde informatie terug. Toen zei de fabrikant dat die het kon reproduceren en in een volgende versie van de chip met een fix zou komen." Ondertussen is er geen goede patch beschikbaar. Omdat het niet om een bug in de microcode gaat, is een microcodepatch ook niet aan de orde. De enige manier om uitbuiting te voorkomen is om de volledige vectorfunctionaliteit uit te schakelen. Dat betekent dat de chip in de praktijk de helft minder efficiënt wordt.