Sonos smart-speakers waren af te luisteren via wifi-aanval
Een kwetsbaarheid in de Sonos One maakte het mogelijk om de smart-speaker via een wifi-aanval af te luisteren. Sonos heeft het beveiligingslek inmiddels verholpen, waarop de onderzoekers van securitybedrijf NCC Group, die het probleem ontdekten, de details openbaar hebben gemaakt.
De smart-speaker bleek bij het uitvoeren van een WPA2-handshake bepaalde informatie niet goed te valideren, wat leidde tot een stack buffer overflow en het mogelijk maakte om code op de speaker uit te voeren. De onderzoekers noemen het 'Over-The-Air Remote Kernel Exploitation'. Nadat de onderzoekers code op de smart-speaker konden uitvoeren was het mogelijk om de microfoon in te schakelen en zo de omgeving af te luisteren en hier opnames van te maken.
Om de aanval uit te voeren moet een aanvaller wil binnen het wifi-bereik van de speaker zijn. Sonos kwam vorig jaar al met updates om het probleem te verhelpen, maar maakte dit pas vorige week bekend. Updates voor de smart-speaker worden standaard automatisch geïnstalleerd. De onderzoekers demonstreerden hun bevindingen deze week tijdens de Black Hat USA 2024 conferentie in Las Vegas (pdf).
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Information Security Officer
Ben jij de Information Security Officer met hart voor de zorg? Wil je een bijdrage leveren aan Informatiebeveiliging binnen het Erasmus MC? Word onderdeel van ons team! Samen met de CISO en een team van Information Security Officers zorg je ervoor dat informatiebeveiliging en gegevens-bescherming binnen Erasmus MC de benodigde aandacht krijgt.
GRC Officer
Als digitaal knooppunt hebben wij te maken met veel verschillende opdrachtgevers en klanten in het zorgveld. Deze opdrachtgevers en klanten vertrouwen erop dat de onze dienstverlening veilig is en continu voldoet aan alle (voortdurende wijzigende) relevante wet- en regelgeving. Als GRC Officer ben jij op de hoogte van die wet- en regelgeving en weet je de vertaalslag te maken naar de praktijk van VECOZO.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.