Onderzoekers zijn er tijdens de Pwn2Own-wedstrijd in het Ierse Cork in geslaagd om de Philips Hue Bridge en Samsung Galaxy S25 via onbekende kwetsbaarheden te hacken. Philips en Samsung worden nu over de beveiligingsproblemen ingelicht zodat ze updates kunnen ontwikkelen. Pwn2Own is een jaarlijks terugkerende hackwedstrijd waarbij onderzoekers worden beloond voor het demonstreren van onbekende kwetsbaarheden in populaire producten, software en diensten.

Er zijn verschillende edities van het evenement. De komende dagen vindt in het Ierse Cork Pwn2Own Ireland plaats. De wedstrijd biedt onderzoekers verschillende categorieën, waaronder smartphones, WhatsApp, printers, NAS-apparaten, wearables, smart home devices en surveillancesystemen. Gisteren, tijdens de eerste dag van de wedstrijd, en vandaag besloten verschillende onderzoekers een aanval op de Philips Hue Bridge te demonstreren.

De Hue Bridge is een smart light hub waarmee gebruikers smart lampen in hun huis via hun thuisnetwerk kunnen bedienen. Voor de aanval mocht er gebruik worden gemaakt van beschikbare network services, RF-signalen of benaderbare features. Onderzoekers van InnoEdge Labs ontdekten een authenticatie bypass en out-of-bounds write waardoor ze code op het apparaat konden uitvoeren. De aanval werd beloond met 20.000 dollar.

Onderzoekers van Team ANHTUD wisten via vier kwetsbaarheden het Philips-apparaat te compromitteren wat hen 40.000 dollar opleverde. Vandaag waren het onderzoekers van Qrious Secure die via vijf verschillende kwetsbaarheden de Hue Bridge compromitteerden. Drie daarvan waren er nog niet eerder vertoond, waardoor hun beloning op 16.000 dollar uitkwam. Een onderzoeker van PixiePoint Security liet ook een succesvolle aanval zien, maar de door hem gebruikte kwetsbaarheden waren al eerder door andere onderzoekers getoond. Op het moment van schrijven lieten ook onderzoekers van Synacktiv een succesvolle aanval tegen de Hue Bridge zien. Details hierover zijn nog niet bekend.

Samsung Galaxy S25

Onderzoekers kunnen tijdens Pwn2Own ook aanvallen tegen smartphones demonstreren. Een remote aanval op een Apple iPhone 16 of Google Pixel 9 wordt beloond met 300.000 dollar. Een zelfde aanval tegen een Samsung Galaxy S25 levert 50.000 dollar op. De aanvallen moeten dan via de browser, near field communication (NFC), wifi, bluetooth of baseband worden uitgevoerd. Onderzoekers van Summoning Team lieten zien hoe ze via één click in de browser de Samsung-telefoon konden compromitteren. Wanneer Samsung en Philips met updates voor de gebruikte kwetsbaarheden komen is onbekend. Morgen vindt de derde dag van Pwn2Own Ireland plaats.