Onderzoekers hacken iPhone X en Samsung S9 via wifi-aanval
Tijdens de Pwn2Own-wedstrijd in Tokio hebben onderzoekers laten zien hoe ze een volledig gepatchte Apple iPhone X, Samsung Galaxy S9 en Xiaomi Mi6 via een wifi-aanval konden hacken. De kwetsbaarheden worden met de betreffende fabrikanten gedeeld, zodat die een update kunnen ontwikkelen.
Twee keer per jaar vindt Pwn2Own plaats, een door het Zero Day Initiative (ZDI) georganiseerd evenement waarbij onderzoekers worden beloond voor het demonstreren van onbekende kwetsbaarheden in populaire applicaties en smartphones. Tijdens Pwn2Own Tokio moeten onderzoekers proberen om verschillende smartphones te hacken, wat mag via de browser, wifi, NFC, bluetooth, mms, sms of baseband.
Op de eerste dag slaagden onderzoekers van securitybedrijf MWR Labs erin om via wifi code op de Xiaomi Mi6 en Samsung Galaxy S9 uit te voeren. In het geval van de Xiaomi lukte het om via JavaScript stilletjes een app te installeren. De twee hacks leverden de onderzoekers een beloning van 60.000 dollar op.
Onderzoekers van team Fluoroacetate demonstreerden een wifi-aanval tegen de iPhone X waardoor er code op het toestel kon worden uitgevoerd. De onderzoekers konden op deze manier een foto van het toestel stelen. De demonstratie werd met 60.000 dollar beloond. Voor een succesvolle aanval op het baseband-onderdeel van de Samsung S9, waardoor het uitvoeren van code mogelijk is, kregen de onderzoekers 50.000 dollar. Verder toonden de onderzoekers ook een aanval via NFC op de Xiaomi Mi6 waardoor ze code konden uitvoeren. Deze hack leverde 30.000 dollar op.
Als laatste liet onderzoeker Michael Contreras zien hoe hij via een JavaScript-bug in de browser van de Xiaomi Mi6 code op het toestel kon uitvoeren. Voor zijn demonstratie ontving de onderzoeker 25.000 dollar. De gedemonstreerde kwetsbaarheden worden aan Apple, Samsung en Xiaomi gemeld zodat die een update kunnen ontwikkelen.
Naast smartphones kunnen onderzoekers voor het eerst tijdens Pwn2Own ook nieuwe aanvallen tegen Internet of Things-apparaten demonstreren. Het gaat dan specifiek om de Apple Watch, Amazon Echo, Google Home, Nest Cam IQ Indoor en Amazon Cloud Cam Security Camera. De beloning varieert van 40.000 tot 60.000 dollar per apparaat. Tijdens de eerste dag zijn er geen aanvallen tegen deze apparaten geprobeerd. Morgen vindt de tweede en laatste dag van het evenement plaats.
Dat zullen we pas weten over 90 dagen als de details van de hack worden gepubliceerd.
Indien Java via de browser of een app (reclame) binnen komt dan beschermt een VPN je daar niet tegen.
Wifi zal waarschijnlijk een vulnerability in de wifi driver zijn dus kan wellicht misbruikt worden als je telefoon naar wifi scant of met een AP wil connecteren.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
