image

Hacker verliest 11.000 euro met Android-lek

dinsdag 8 maart 2011, 09:53 door Redactie, 4 reacties

Een beveiligingsonderzoeker die een ernstig lek in de Android Marktplaats had gevonden, heeft zelf 11.000 euro weggegooid door de kwetsbaarheid aan Google te verklappen. Jon Oberheide had met zijn cross-site scripting-lek aan de Pwn2Own-hack mee willen doen, maar dacht dat het probleem niet aan de wedstrijdregels voldeed. Daarop besloot hij Google te informeren, die hem via het beloningsprogramma voor onderzoekers met 1.337 dollar beloonde.

Nu blijkt dat Oberheide toch aan de wedstrijd mee had mogen doen, wat hem 11.000 euro en een Android telefoon had kunnen opleveren. "Ik ben teleurgesteld, omdat ik dacht dat het erg grappig zou zijn om Pwn2Own met een XSS-lek te winnen", aldus de onderzoeker. De kwetsbaarheid zorgde ervoor dat het XSS-lek willekeurige code op de telefoon kon installeren als de gebruiker op zijn Gmail-account was ingelogd en via de browser een kwaadaardige link opende.

"Het surfen op de Android Marktplaats via je browser op je desktop en het sturen van applicaties naar je toestel is fantastisch voor de gebruikerservaring, maar het opent een gevaarlijke aanvalsvector. Elk willekeurige XSS-lek in de Marktplaats laat een aanvaller je browser een POST request maken dat voor de installatie van een app op je telefoon zorgt," laat Oberheide weten. Inmiddels is het lek door Google gepatcht.

Reacties (4)
08-03-2011, 09:54 door Anoniem
1337$?

dat is wel een leet bedrag zeg
08-03-2011, 10:20 door SirDice
Hij heeft helemaal niets verloren. Verliezen impliceert dat je het ooit in bezit hebt gehad. Hij is het simpelweg misgelopen.
08-03-2011, 12:50 door Preddie
Door Anoniem: 1337$?

dat is wel een leet bedrag zeg

vandaar misschien ook de keuze van het bedrag, duh .....

maarja erg zuur ja, maar kan hij dan niet alsnog mee doen. Ik bedoel, als je het verder niet bekend maakt en google niet patch is het lek nog aanwezig ...
08-03-2011, 14:15 door Anoniem
Tja er is niet altijd een beloning voor het Hacken als het iemand lukt op uitnodiging van een bedrijf om iets te kraken van hun beveiliging.
Dit keer is het dus stank voor dank geworden.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.