Tijdens de afgelopen Pwn2Own-wedstrijd lieten verschillende onderzoekers zien hoe ze de Sonos One Speaker op afstand konden overnemen. Details zijn nu openbaar gemaakt, waaruit blijkt dat twee van de kwetsbaarheden het uitvoeren van code als root mogelijk maken. Pwn2Own is een jaarlijkse wedstrijd waarbij onderzoekers worden beloond voor het demonstreren van onbekende kwetsbaarheden in veelgebruikte software en hardware. Afgelopen december vond het evenement in Toronto plaats en was de Sonos One Speaker één van de doelwitten.

In totaal besloten drie onderzoeksteams de smart speaker aan te vallen. Al de aanvallen vonden plaats vanuit het netwerk waar de Sonos onderdeel van is. Als eerste blijkt dat alle drie de teams een kwetsbaarheid gebruiken voor het verkrijgen van informatie. Twee van de teams maken hierbij gebruik van de SMB-functionaliteit van de Sonos. Vervolgens blijkt het met de verkregen informatie mogelijk om via een speciaal geprepareerd SMB directory query commando willekeurige code als root op de smart speaker uit te voeren.

De onderzoekers van DEVCORE Team kiezen een andere aanpak, waarbij ze voor het verkrijgen van de benodigde informatie zich eerst als een "rogue" Sonos-speaker voordoen. De verkregen informatie wordt daarna gebruikt voor het versturen van een speciaal geprepareerd .ts-audiobestand, waarmee het de onderzoekers via een kwetsbaarheid in de MPEG-TS parser ook lukt om willekeurige code als root uit te voeren.

De impact van de twee kwetsbaarheden die code execution mogelijk maken is op een schaal van 1 tot en met 10 beoordeeld met een 8.8. De drie teams kregen bij elkaar een beloning van 105.000 dollar voor de aanvallen op de Sonos-speaker. De gebruikte kwetsbaarheden zijn verholpen in versie 15.2 van de S2-app en versie 117.1 van de S1-app.