Onderzoekers zijn er tijdens de Pwn2Own-wedstrijd in het Ierse Cork in geslaagd om de Philips Hue Bridge en Samsung Galaxy S25 via onbekende kwetsbaarheden te hacken. Philips en Samsung worden nu over de beveiligingsproblemen ingelicht zodat ze updates kunnen ontwikkelen. Pwn2Own is een jaarlijks terugkerende hackwedstrijd waarbij onderzoekers worden beloond voor het demonstreren van onbekende kwetsbaarheden in populaire producten, software en diensten.

Er zijn verschillende edities van het evenement. De komende dagen vindt in het Ierse Cork Pwn2Own Ireland plaats. De wedstrijd biedt onderzoekers verschillende categorieën, waaronder smartphones, WhatsApp, printers, NAS-apparaten, wearables, smart home devices en surveillancesystemen. Gisteren, tijdens de eerste dag van de wedstrijd, en vandaag besloten verschillende onderzoekers een aanval op de Philips Hue Bridge te demonstreren.

De Hue Bridge is een smart light hub waarmee gebruikers smart lampen in hun huis via hun thuisnetwerk kunnen bedienen. Voor de aanval mocht er gebruik worden gemaakt van beschikbare network services, RF-signalen of benaderbare features. Onderzoekers van InnoEdge Labs ontdekten een authenticatie bypass en out-of-bounds write waardoor ze code op het apparaat konden uitvoeren. De aanval werd beloond met 20.000 dollar.

Onderzoekers van Team ANHTUD wisten via vier kwetsbaarheden het Philips-apparaat te compromitteren wat hen 40.000 dollar opleverde. Vandaag waren het onderzoekers van Qrious Secure die via vijf verschillende kwetsbaarheden de Hue Bridge compromitteerden. Drie daarvan waren er nog niet eerder vertoond, waardoor hun beloning op 16.000 dollar uitkwam. Een onderzoeker van PixiePoint Security liet ook een succesvolle aanval zien, maar de door hem gebruikte kwetsbaarheden waren al eerder door andere onderzoekers getoond. Op het moment van schrijven lieten ook onderzoekers van Synacktiv een succesvolle aanval tegen de Hue Bridge zien. Details hierover zijn nog niet bekend.

Samsung Galaxy S25