Tijdens de Pwn2Own-wedstrijd in Tokio hebben onderzoekers laten zien hoe ze een volledig gepatchte Apple iPhone X, Samsung Galaxy S9 en Xiaomi Mi6 via een wifi-aanval konden hacken. De kwetsbaarheden worden met de betreffende fabrikanten gedeeld, zodat die een update kunnen ontwikkelen.
Twee keer per jaar vindt Pwn2Own plaats, een door het Zero Day Initiative (ZDI) georganiseerd evenement waarbij onderzoekers worden beloond voor het demonstreren van onbekende kwetsbaarheden in populaire applicaties en smartphones. Tijdens Pwn2Own Tokio moeten onderzoekers proberen om verschillende smartphones te hacken, wat mag via de browser, wifi, NFC, bluetooth, mms, sms of baseband.
Op de eerste dag slaagden onderzoekers van securitybedrijf MWR Labs erin om via wifi code op de Xiaomi Mi6 en Samsung Galaxy S9 uit te voeren. In het geval van de Xiaomi lukte het om via JavaScript stilletjes een app te installeren. De twee hacks leverden de onderzoekers een beloning van 60.000 dollar op.
Onderzoekers van team Fluoroacetate demonstreerden een wifi-aanval tegen de iPhone X waardoor er code op het toestel kon worden uitgevoerd. De onderzoekers konden op deze manier een foto van het toestel stelen. De demonstratie werd met 60.000 dollar beloond. Voor een succesvolle aanval op het baseband-onderdeel van de Samsung S9, waardoor het uitvoeren van code mogelijk is, kregen de onderzoekers 50.000 dollar. Verder toonden de onderzoekers ook een aanval via NFC op de Xiaomi Mi6 waardoor ze code konden uitvoeren. Deze hack leverde 30.000 dollar op.
Als laatste liet onderzoeker Michael Contreras zien hoe hij via een JavaScript-bug in de browser van de Xiaomi Mi6 code op het toestel kon uitvoeren. Voor zijn demonstratie ontving de onderzoeker 25.000 dollar. De gedemonstreerde kwetsbaarheden worden aan Apple, Samsung en Xiaomi gemeld zodat die een update kunnen ontwikkelen.
Naast smartphones kunnen onderzoekers voor het eerst tijdens Pwn2Own ook nieuwe aanvallen tegen Internet of Things-apparaten demonstreren. Het gaat dan specifiek om de Apple Watch, Amazon Echo, Google Home, Nest Cam IQ Indoor en Amazon Cloud Cam Security Camera. De beloning varieert van 40.000 tot 60.000 dollar per apparaat. Tijdens de eerste dag zijn er geen aanvallen tegen deze apparaten geprobeerd. Morgen vindt de tweede en laatste dag van het evenement plaats.
Deze posting is gelocked. Reageren is niet meer mogelijk.