Hacker-Contest Pwn2Own: Amazon-Echo-Hack mit 60.000 US-Dollar belohnt
Im Tokyo-Ableger des Hacker-Wettbewerbs Pwn2Own haben Sicherheitsforscher unter anderem Router und Smart TVs erfolgreich attackiert.
(Bild: Zero Day Initiative)
Beim diesjährigen Hacker-Contest Pwn2Own waren alle Angriffsversuche auf verschiedene Smartphones, smarte Lautsprecher, Router und erstmals auch Smart TVs erfolgreich. Insgesamt haben die Veranstalter von Trend Micros Zero Day Initiative Preisgelder in Höhe von mehr als 315.000 US-Dollar an teilnehmende Sicherheitsforscher ausgeschüttet. Bei dem Wettbewerb Pwn2Own ist der Name Programm: Wer ein Gerät erfolgreich knackt, darf es behalten.
Gewonnen hat den Wettbewerb das Hacker-Duo Fluoroacetate, die sich nun mit dem Titel "Master of Pwn" schmücken dürfen. Darüber hinaus sind sie um 195.000 US-Dollar reicher. Den größten Coup landeten sie mit einem erfolgreichen Angriff auf dem smarten Lautsprecher Echo Show 5 von Amazon. Dabei konnten sie auf nicht näher beschriebenem Weg via JavaScript einen Speicherfehler (integer overflow) auslösen und so die komplette Kontrolle über das Gerät erlangen. Allein durch diese Aktion konnten sie 60.000 US-Dollar einstreichen.
Weitere Erfolge
Das Team hat außerdem den smarten Fernseher X800G von Sony und das Smartphone Xiaomi Mi9 erfolgreich attackiert. Auch das Samsung Galaxy S10 musste dran glauben. Hier setzten sie an der NFC-Komponente an und konnten aufgrund eines Bugs in JavaScript JIT aus der Sandbox ausbrechen und ein Bildschirmfoto machen.
Das Team Flashback hat die Authentifizierung des Netgear-Router R6700 erfolgreich umgangen. Sie hatten am Ende Zugriff auf die Shell. Außerdem konnten sie mit einem zweiten Angriff die Firmware dauerhaft verändern, sodass ihre Payload auch einen Werksreset überlebt hat. Auch der AC1750 von TP-Link ist gefallen und das Team konnte eigenen Code ausführen. Der Grund dafür war die Kombination von drei Sicherheitslücken.
Einige Teilerfolge
Wie aus einer Mitteilung zum Event hervorgeht, waren in einigen Fällen Attacken zwar erfolgreich, doch die Exploits waren bereits bekannt. Ein Team hat seinen Wettbewerbsbeitrag zurückgezogen. Insgesamt haben die Teilnehmer 18 Sicherheitslücken entdeckt. Nun sind die Hersteller gefragt, Sicherheitsupdates zu veröffentlichen. (des)
