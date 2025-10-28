Hacker finden Lücken in Consumer-Hardware

28. Oktober 2025 um 14:48
  • security
image
Foto: Zero Day Initiative (via X)

Im Rahmen des Pwn2Own-Wettbewerbs in Irland vergab Trend Micro über 1 Million US-Dollar. Die Hacker nutzten Lücken bei Consumer-Produkten aus.

Das japanische Cybersicherheitsunternehmen Trend Micro trug letzte Woche den Hackathon Pwn2Own aus. Der Wettbewerb stand im Rahmen der seit 2005 bestehenden Zero Day Initiative der Firma, bei der Zero-Day-Sicherheitslücken von Produktanbietern gemeldet werden. Ziele der Initiative sind der Aufbau eines Netzwerks von Forschern, die Meldung von Zero-Day-Schwachstellen durch finanzielle Anreize zu fördern und die Kunden von Trend Micro frühstmöglich zu schützen. Für den Wettbewerb vergaben der Veranstalter und die Co-Sponsoren Synology sowie Qnap insgesamt rund eine Million US-Dollar an Preisgeldern. Die Teilnehmer entdeckten und meldeten 73 unbekannte Zero-Day Schwachstellen.
Ziele der Hacker-Angriffe
Unter den erfolgreich gehackten Produkten stechen folgende heraus:
  • Samsung Galaxy S25: Das Team Interrupt Labs nutzte eine Schwachstelle bei der Eingabevalidierung aus, um die Kamera und Standortfunktion zu kompromittieren. Auch das Summoning Team konnte das Flaggschiff-Modell von Samsung unter Ausnutzung von fünf unterschiedlichen Lücken hacken.
  • Synology Diskstation DS925+: Auf der NAS-Station konnte das Team Verichains Cyber Schadcode als Root ausführen aufgrund von zwei Bugs, darunter einer im Authentifizierungsprozess.
  • Sonos Era 300 Smart Speaker: Star Labs verwendete einen Fehler im temporären Speicher (Out-of-Bounds-Access-Bug), um den Lautsprecher anzugreifen.
  • Qnap Router: Das Team DDOS entdeckte acht Schwachstellen, darunter Injections, mit denen sie einen im Netz angeschlossenen Router angreifen konnten.
  • Whatsapp: Die Gruppe Z3 konnte einen Zero-Click-Exploit an dem Messenger ausführen, teilte seine Erkenntnisse aber Trend Micro und Meta mit, damit mögliche Lücken geschlossen werden konnten.

Kommentare

