Philips Hue Bridge en Samsung Galaxy S25 gehackt tijdens Pwn2Own

In dit artikel:

Tijdens Pwn2Own Ireland in Cork lieten beveiligingsonderzoekers zien dat ze met onbekende kwetsbaarheden zowel de Philips Hue Bridge als een Samsung Galaxy S25 konden overnemen. Pwn2Own is een jaarlijkse hackwedstrijd waarin deelnemers beloningen krijgen voor het aantonen van zero-dayzwaktes in populaire hardware en software; organisatoren en fabrikanten krijgen de bevindingen zodat patches ontwikkeld kunnen worden.

Op de eerste wedstrijddag en de dag erna concentreerden meerdere teams zich op de Hue Bridge, een hub voor slimme verlichting die in huis via het thuisnetwerk lampen aanstuurt. InnoEdge Labs ontdekte een authenticatiebypass en een out‑of‑bounds write waarmee code op het apparaat uitgevoerd kon worden; dat leverde hen 20.000 dollar op. Team ANHTUD combineerde vier kwetsbaarheden om het apparaat te compromitteren en ontving 40.000 dollar. Qrious Secure toonde later vijf verschillende zwaktes, waarvan drie nieuw waren — hun beloning bedroeg 16.000 dollar. PixiePoint Security en Synacktiv demonstreerden eveneens succesvolle aanvallen; bij PixiePoint betroffen de gebruikte zwaktes al eerder getoonde technieken, en van Synacktiv zijn de details nog niet vrijgegeven.

De wedstrijd omvat meerdere categorieën (onder meer smartphones, printers, NAS, wearables, smart home en surveillancesystemen). Fabrikanten worden op de hoogte gesteld zodat ze updates kunnen uitbrengen en gebruikers uiteindelijk beschermd worden tegen de onthulde aanvallen.