image

Foto's op Samsung Galaxy S10 via NFC-aanval te exfiltreren

woensdag 6 november 2019, 11:24 door Redactie, 0 reacties

Beveiligingsonderzoekers Amat Cama en Richard Zhu hebben twee beveiligingslekken in de Samsung Galaxy S10 gevonden waardoor het mogelijk is om via een NFC-aanval foto's van het toestel te exfiltreren. Het is op dit moment nog onduidelijk of er interactie van het slachtoffer is vereist.

De onderzoekers maakten gebruik van een kwetsbaarheid in JavaScript JIT gevolgd door een use after free (UAF) kwetsbaarheid om uit de sandbox te breken en via NFC een foto van het toestel te halen. De aanval werd gedemonstreerd tijdens de Pwn2Own-hackwedstrijd in Tokyo. Tijdens het evenement laten onderzoekers onbekende kwetsbaarheden in smartphones en andere producten zien. Voor hun demonstratie werden Cama en Zhu met 30.000 dollar beloond.

De Samsung Galaxy S10, het nieuwste vlaggenschip van de Zuid-Koreaanse fabrikant, was niet het enige toestel dat sneuvelde. Cama en Zhu lieten ook zien hoe een kwaadaardige website via een kwetsbaarheid toegang kan krijgen tot foto's op een Xiaomi Mi9-smartphone. Alleen het bezoeken van een kwaadaardige website met de standaardbrowser van de M9 is voldoende om een aanvaller toegang tot foto's op het toestel te geven. De aanval leverde de onderzoekers 20.000 dollar op.

Pwn2Own Tokyo wordt georganiseerd door het Zero Day Initiative (ZDI). Het ZDI deelt de kwetsbaarheden met de betreffende fabrikanten. Waarna die een beveiligingsupdate hebben ontwikkeld zal het ZDI de details van de beveiligingslekken openbaar maken. In het geval van de NFC-aanval wordt op dit moment alleen gesteld dat een enkele "tap" voldoende is. Het is alleen onduidelijk of dit vanuit de aanvaller of het doelwit moet worden gezien. We hebben het ZDI om meer informatie gevraagd.

Nog geen reacties
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.