Beheer

Security
dollars

60.000 dollar voor Pwn2Own-hack van Amazon Echo Show 5

Hackers wisten 'full control' te krijgen over de slimme speaker met beeldscherm met de Alexa-assistent.

© CC0 - Pixabay QuinceMedia
12 november 2019

Hackers wisten 'full control' te krijgen over de slimme speaker met beeldscherm met de Alexa-assistent.

Team Fluoroacetate - bestaande uit Amat Cama en Richard Zhu - was de duidelijke winnaar van de jaarlijkse hackwedstrijd Pwn2Own.

Het team sleepte prijzengeld binnen voor een aantal hacks waarvan die van Amazons nieuwe Echo Show 5 de meest opvallende was. De Echo Show 5 is een nieuwe generatie smart speaker die ook een beeldscherm heeft om informatie te tonen die de slimme assistent Alexa op basis van spraakcommando's opzoekt.

In het apparaat hebben de ontwikkelaars echter een oude versie van de Chromium-browser gebruikt, een open source browser waarop zowel Google zijn Chrome-browser en Microsoft de vernieuwde versie van zijn Edge-browser heeft gebouwd. Het open source Chromium-project heeft inmiddels echter verschillende aftakkingen. De versie die in de Amazon Echo Show 5 is verwerkt, bevat een bug die het mogelijk maakt via een gemanipuleerde wifi hotspot toegang te krijgen tot de kern van het besturingssysteem van het apparaat.

De softwarefout kan aanleiding geven tot een buffer overflow waardoor kwaadaardige code door de beveiliging heen kan breken en tot uitvoer kan worden gebracht. Amazon heeft het probleem onderkend en zegt er onderzoek naar een oplossing te doen. Het is echter niet duidelijk wanneer er voor de Echo Show 5 een patch beschikbaar komt die de kwetsbaarheid verhelpt. Team Fluoroacetate kreeg 60.000 dollar voor hun prestatie.

Veel IoT-apparaten bevatten deze bug

Overigens was de Echo Show 5 niet het enige apparaat dat via deze softwarefout op de knieën ging. Brian Gorenc, de directeur van Trend Micros Zero Day Initiative dat de Pwn2Own-wedstrijd organiseert zei tegen TechCrunch dat het ontbreken van de patch een terugkerend element was in het kraken van veel IoT-apparaten.

Team Fluoroacetate heeft ook als eerste een smart tv op de korrel genomen. De Sony X800G bleek weinig weerstand te bieden tegen de tophackers. Ook hier bleek de webbrowser de zwakke plek. De hackers kregen toegang tot de softwarekern via een JavaScript out-of-bounds (OOB) Read. Dat leverde de twee hackers 15.000 dollar op. Verder richtten zij hun pijlen op de Xiaomi Mi9. Ze slaagden er in op illegale wijze een foto uit de smartphone te krijgen via een bug in een JavaScript. Dit leverde hen 20.000 dollar op.

145.000 dollar binnen op een dag

Als laatste braken ze in op de Samsung Galaxy S10 met een aanval op de NFC-component. Wat de smartphone de das om deed was een JavaScript JIT-fout in combinatie met een Use After Free (UAF), een beproefde methode om het geheugen van browser te compromitteren. Hoewel voor deze kwestbaarheid al lang oplossingen bestaan die misbruik veel lastiger maken, komt de bug nog veel 'in het wild' voor zoals dus in deze high-end smartphone. Met deze hack verdiende Team Fluoroacetate 30.000 dollar, wat de opbrengst voor de twee hackers in totaal op 145.000 dollar bracht.

AG Connect Security-update

Wil jij meepraten over wat er speelt in het securityvak? Laat je dan tweewekelijks inspireren door de artikelen van AG Connect. Meld je hier aan.

Lees meer over
Lees meer over Beheer OP AG Intelligence
2
Reacties
Thijs Doorenbosch 12 november 2019 13:32

Excuus!

Peter7 12 november 2019 13:03

Het artikel wordt tijdens het lezen steeds minder leuk door de enorme hoeveelheid schrijffouten. Kom op jongens, dat kan beter!

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.