Geen bug-bonus door melding aan Google
"Financieel liep het mis voor me,' zei Jon Oberheide, mede-oprichter en CTO van het Amerikaanse beveiligingsbedrijf Duo Security. "Maar het is goed dat Google onderzoekers beloont voor het melden van bugs. Ik heb nu wel mijn eerste kwetsbaarheid in Android die voor een beloning in aanmerking kwam op mijn naam staan."
Shutterstock
Shutterstock
Google betaalde Oberheide een bedrag van 1.337 dollar voor het melden van de kwetsbaarheid. Door de melding en de patch die erop volgde, liep Oberheide een bijna zekere prijs van 15.000 dollar mis op de Pwn2Own hackerwedstrijd die vandaag begint in Vancouver, als onderdeel van CanSecWest security conference.
Met een werkende exploit op zak had Oberheide immers de beste papieren om als eerste de Samsung Nexus S phone en diens besturingssysteem Android op de knieën te krijgen tijdens de hackerwedstrijd. Degene die als eerste één van de smartphones in 4 categorieën (iPhones, Android, Nokia en BlackBerry) weet te hacken, krijgt 15.000 dollar.
Het was een simpele cross-site scripting (XSS) bug, zei Oberheide. "Hoewel het om een triviale kwetsbaarheid ging, waren de gevolgen behoorlijk significant. De Android Market bevatte een XSS-kwetsbaarheid in de e-mart website. Deze site laat gebruikers apps voor hun smartphone bekijken, selecteren en installeren via hun desktop. Een aanvaller kon ongezien een malafide app laten installeren door een gebruiker te verleiden op een link te klikken, terwijl deze was ingelogd op een Google account."
Gerelateerde artikelen
Gerelateerde artikelen
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee