image

Google looft 200.000 dollar uit voor complexe Android-aanval

woensdag 14 september 2016, 10:48 door Redactie, 3 reacties

Google is een nieuwe wedstrijd gestart waarbij het 200.000 dollar heeft uitgeloofd voor de eerste onderzoeker die een Androidtoestel via alleen het telefoonnummer of e-mailadres volledig kan overnemen. Het gaat dan bijvoorbeeld om aanvallen die via sms of e-mail worden uitgevoerd.

De internetgigant heeft verschillende beloningsprogramma's voor hackers en onderzoekers die bugmeldingen en kwetsbaarheden rapporteren. De nu aangekondigde Project Zero Prize is echter anders van opzet. Het idee is dat onderzoekers gedurende een periode van zes maanden naar de aanval op zoek gaan en alle benodigde kwetsbaarheden in de tussentijd rapporteren. Waarschijnlijk zijn er namelijk meerdere kwetsbaarheden voor het uitvoeren van de aanval vereist.

Bij andere hackwedstrijden worden onderzoekers pas beloond als ze een volledig werkende aanval kunnen demonstreren. Dit houdt echter in dat kwetsbaarheden langere tijd voor de leverancier in kwestie verborgen blijven en er ook geen update voor kan worden ontwikkeld. Google zegt dat alleen onderzoekers die een gerapporteerde kwetsbaarheid melden die voor het uitvoeren van de uiteindelijke aanval mogen gebruiken.

De reden voor het organiseren van de hackwedstrijd is volgens Google om informatie over dit soort kwetsbaarheden en aanvallen te verzamelen. "Er gaan vaak geruchten rond van Android-exploits die op afstand zijn uit te voeren, maar het is zeer bijzonder om er één in het echt te zien", zegt Natalie Silvanovic van Google. Door de wedstrijd hoopt de internetgigant meer inzicht in meer complexe Android-aanvallen te krijgen.

Dit soort aanvallen zijn namelijk vooral aan overheden voorbehouden, zoals de recente aanval op een mensenrechtenactivist in de Verenigde Arabische Emiraten liet zien. De aanvallers probeerden een iOS-toestel via drie onbekende kwetsbaarheden over te nemen, nadat ze een sms met een link naar een kwaadaardige website hadden gestuurd. De hackwedstrijd van Google duurt zes maanden. Naast de hoofdprijs van 200.000 dollar voor de eerste plek is er 100.000 dollar voor de nummer twee uitgeloofd en 50.000 dollar voor de derde plek.

Reacties (3)
14-09-2016, 10:52 door [Account Verwijderd]
[Verwijderd]
14-09-2016, 12:00 door Anoniem
Als je zo'n exploit hebt die ondergronds het veelvoudige waard is, dan verkoop je die uiteraard aan Google voor een schijntje van de marktwaarde... NOT. Dat is de reden dat ze niet openbaar zijn, niet zozeer dat ze er niet zijn. En met waarde bedoel ik niet alleen $€'s, maar ook potentie als wapen.

€0,02
14-09-2016, 14:47 door Anoniem
Door Anoniem: Als je zo'n exploit hebt die ondergronds het veelvoudige waard is, dan verkoop je die uiteraard aan Google voor een schijntje van de marktwaarde... NOT. Dat is de reden dat ze niet openbaar zijn, niet zozeer dat ze er niet zijn. En met waarde bedoel ik niet alleen $€'s, maar ook potentie als wapen.

€0,02

gelukkig zijn er nog heel veel mensen met enig ethisch besef, vooral in deze branche
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.