60.000 dollar voor Pwn2Own-hack van Amazon Echo Show 5
Team Fluoroacetate - bestaande uit Amat Cama en Richard Zhu - was de duidelijke winnaar van de jaarlijkse hackwedstrijd Pwn2Own.
© CC0 - Pixabay
CC0 - Pixabay
Het team sleepte prijzengeld binnen voor een aantal hacks waarvan die van Amazons nieuwe Echo Show 5 de meest opvallende was. De Echo Show 5 is een nieuwe generatie smart speaker die ook een beeldscherm heeft om informatie te tonen die de slimme assistent Alexa op basis van spraakcommando's opzoekt.
In het apparaat hebben de ontwikkelaars echter een oude versie van de Chromium-browser gebruikt, een open source browser waarop zowel Google zijn Chrome-browser en Microsoft de vernieuwde versie van zijn Edge-browser heeft gebouwd. Het open source Chromium-project heeft inmiddels echter verschillende aftakkingen. De versie die in de Amazon Echo Show 5 is verwerkt, bevat een bug die het mogelijk maakt via een gemanipuleerde wifi hotspot toegang te krijgen tot de kern van het besturingssysteem van het apparaat.
De softwarefout kan aanleiding geven tot een buffer overflow waardoor kwaadaardige code door de beveiliging heen kan breken en tot uitvoer kan worden gebracht. Amazon heeft het probleem onderkend en zegt er onderzoek naar een oplossing te doen. Het is echter niet duidelijk wanneer er voor de Echo Show 5 een patch beschikbaar komt die de kwetsbaarheid verhelpt. Team Fluoroacetate kreeg 60.000 dollar voor hun prestatie.
Veel IoT-apparaten bevatten deze bug
Overigens was de Echo Show 5 niet het enige apparaat dat via deze softwarefout op de knieën ging. Brian Gorenc, de directeur van Trend Micros Zero Day Initiative dat de Pwn2Own-wedstrijd organiseert zei tegen TechCrunch dat het ontbreken van de patch een terugkerend element was in het kraken van veel IoT-apparaten.
Team Fluoroacetate heeft ook als eerste een smart tv op de korrel genomen. De Sony X800G bleek weinig weerstand te bieden tegen de tophackers. Ook hier bleek de webbrowser de zwakke plek. De hackers kregen toegang tot de softwarekern via een JavaScript out-of-bounds (OOB) Read. Dat leverde de twee hackers 15.000 dollar op. Verder richtten zij hun pijlen op de Xiaomi Mi9. Ze slaagden er in op illegale wijze een foto uit de smartphone te krijgen via een bug in een JavaScript. Dit leverde hen 20.000 dollar op.
145.000 dollar binnen op een dag
Als laatste braken ze in op de Samsung Galaxy S10 met een aanval op de NFC-component. Wat de smartphone de das om deed was een JavaScript JIT-fout in combinatie met een Use After Free (UAF), een beproefde methode om het geheugen van browser te compromitteren. Hoewel voor deze kwestbaarheid al lang oplossingen bestaan die misbruik veel lastiger maken, komt de bug nog veel 'in het wild' voor zoals dus in deze high-end smartphone. Met deze hack verdiende Team Fluoroacetate 30.000 dollar, wat de opbrengst voor de twee hackers in totaal op 145.000 dollar bracht.
AG Connect Security-update
Wil jij meepraten over wat er speelt in het securityvak? Laat je dan tweewekelijks inspireren door de artikelen van AG Connect. Meld je hier aan.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee