image

Onderzoekers hacken iPhone X en Samsung S9 via wifi-aanval

dinsdag 13 november 2018, 11:41 door Redactie, 5 reacties
Laatst bijgewerkt: 13-11-2018, 12:20

Tijdens de Pwn2Own-wedstrijd in Tokio hebben onderzoekers laten zien hoe ze een volledig gepatchte Apple iPhone X, Samsung Galaxy S9 en Xiaomi Mi6 via een wifi-aanval konden hacken. De kwetsbaarheden worden met de betreffende fabrikanten gedeeld, zodat die een update kunnen ontwikkelen.

Twee keer per jaar vindt Pwn2Own plaats, een door het Zero Day Initiative (ZDI) georganiseerd evenement waarbij onderzoekers worden beloond voor het demonstreren van onbekende kwetsbaarheden in populaire applicaties en smartphones. Tijdens Pwn2Own Tokio moeten onderzoekers proberen om verschillende smartphones te hacken, wat mag via de browser, wifi, NFC, bluetooth, mms, sms of baseband.

Op de eerste dag slaagden onderzoekers van securitybedrijf MWR Labs erin om via wifi code op de Xiaomi Mi6 en Samsung Galaxy S9 uit te voeren. In het geval van de Xiaomi lukte het om via JavaScript stilletjes een app te installeren. De twee hacks leverden de onderzoekers een beloning van 60.000 dollar op.

Onderzoekers van team Fluoroacetate demonstreerden een wifi-aanval tegen de iPhone X waardoor er code op het toestel kon worden uitgevoerd. De onderzoekers konden op deze manier een foto van het toestel stelen. De demonstratie werd met 60.000 dollar beloond. Voor een succesvolle aanval op het baseband-onderdeel van de Samsung S9, waardoor het uitvoeren van code mogelijk is, kregen de onderzoekers 50.000 dollar. Verder toonden de onderzoekers ook een aanval via NFC op de Xiaomi Mi6 waardoor ze code konden uitvoeren. Deze hack leverde 30.000 dollar op.

Als laatste liet onderzoeker Michael Contreras zien hoe hij via een JavaScript-bug in de browser van de Xiaomi Mi6 code op het toestel kon uitvoeren. Voor zijn demonstratie ontving de onderzoeker 25.000 dollar. De gedemonstreerde kwetsbaarheden worden aan Apple, Samsung en Xiaomi gemeld zodat die een update kunnen ontwikkelen.

Naast smartphones kunnen onderzoekers voor het eerst tijdens Pwn2Own ook nieuwe aanvallen tegen Internet of Things-apparaten demonstreren. Het gaat dan specifiek om de Apple Watch, Amazon Echo, Google Home, Nest Cam IQ Indoor en Amazon Cloud Cam Security Camera. De beloning varieert van 40.000 tot 60.000 dollar per apparaat. Tijdens de eerste dag zijn er geen aanvallen tegen deze apparaten geprobeerd. Morgen vindt de tweede en laatste dag van het evenement plaats.

Reacties (5)
13-11-2018, 11:48 door Anoniem
Is dit ook mogelijk als er gebruik word gemaakt van een VPN?
13-11-2018, 12:38 door Anoniem
Door Anoniem: Is dit ook mogelijk als er gebruik word gemaakt van een VPN?

Dat zullen we pas weten over 90 dagen als de details van de hack worden gepubliceerd.
13-11-2018, 13:14 door Anoniem
Uiteraard werkt dit ook via een VPN, een VPN beschermt je device namelijk niet het veranderd alleen de locatie van je device, dus je zult gericht moeilijker te vinden zijn (je buurman zal jou bv niet meer kunnen vinden ook al zou hij bijvoorbeeld jou wifi netwerk gehackt hebben), maar kom je via een VPN op laten we zeggen een illegale download site en daar draait een script waar kwetsbaarheden voor jou device in zitten dan ben je net zo kwetsbaar als zonder VPN, daarom zou je én een VPN moeten gebruiken én bijvoorbeeld een TOR client dan ben je al veilig(er), echt veilig ben je natuurlijk nooit online.
13-11-2018, 13:51 door Anoniem
Daar is zo weinig over te zeggen omdat de details bij ZDI liggen.

Indien Java via de browser of een app (reclame) binnen komt dan beschermt een VPN je daar niet tegen.

Wifi zal waarschijnlijk een vulnerability in de wifi driver zijn dus kan wellicht misbruikt worden als je telefoon naar wifi scant of met een AP wil connecteren.
14-11-2018, 09:21 door Anoniem
Is Samsung Galaxy S7 ook kwetsbaar voor deze wifi-aanval? En als er code wordt uitgevoerd op het toestel hoe krijg je toestel daar weer van bevrijd? Is factory reset daarvoor afdoende?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.