Onderzoekers hebben tijdens de Pwn2Own-hackwedstrijd in Tokyo laten zien hoe ze de Amazon Echo en smart-tv's van Samsung en Sony op afstand kunnen overnemen. Pwn2Own is een door het Zero Day Initiative georganiseerde wedstrijd die onderzoekers beloont voor het demonstreren van onbekende kwetsbaarheden in allerlei producten.
De wedstrijd in Tokyo richt zich op smartphones, Internet of Things-apparaten en sinds deze editie ook op smart-tv's, wearables, thuisautomatisering en routers. Onderzoekers Amat Cama en Richard Zhu maakten gebruik van een beveiligingslek in de browser van de Sony X800G-televisie om een bind shell op het toestel te krijgen. Alleen het bezoeken van een kwaadaardige website was voldoende om de onderzoekers controle over de televisie te geven. Voor hun demonstratie ontvingen ze 15.000 dollar.
De onderzoekers demonstreerden vervolgens een succesvolle aanval tegen een Samsung Q60-televisie, waardoor ze een reverse shell kregen. Wederom ontvingen ze 15.000 dollar voor hun demonstratie. De grootste beloning kregen Cama en Zhu voor een aanval op de Amazon Echo. Via een integer overflow in JavaScript wisten ze het apparaat op afstand over te nemen. Deze demonstratie leverde de onderzoekers 60.000 dollar op.
De kwetsbaarheden worden nu met de fabrikanten gedeeld zodat die een beveiligingsupdate kunnen ontwikkelen. Daarna zal het ZDI de details van de beveiligingslekken prijsgeven. Morgen vindt de tweede en laatste dag van de wedstrijd plaats.
Bron: security.nl