image

Google betaalde 112.500 dollar voor remote Pixel-exploit

donderdag 18 januari 2018, 10:30 door Redactie, 2 reacties

Google heeft een onderzoeker 112.500 dollar betaald voor een exploit waarmee het mogelijk was om op afstand code op Pixel-smartphones uit te voeren. De onderzoeker gebruikte in totaal twee verschillende kwetsbaarheden in Android en de V8-browserengine van Chrome om de aanval te laten slagen.

Via de exploit kon onderzoeker Guang Gong uit de sandbox van Chrome breken en code op het toestel uitvoeren. Alleen het bezoeken van een kwaadaardige website in Chrome was voldoende om willekeurige code in de system_server te injecteren. Gong rapporteerde de kwetsbaarheden en exploit in augustus vorig jaar aan Google.

In september volgde een Chrome-update voor de kwetsbaarheid in de V8-browserengine. Begin december werd het beveiligingslek in het Android-besturingssysteem gepatcht. Android-toestellen met patchniveau 2017-12-05 of nieuwer zijn tegen de kwetsbaarheid beschermd. Google heeft nu de details van de kwetsbaarheden en exploit gepubliceerd en meldt dat het maatregelen neemt om het Android-platform tegen soortgelijke beveiligingslekken te beschermen.

Reacties (2)
18-01-2018, 12:09 door Anoniem
Dit zou eigenlijk de normale prijs moeten zijn voor zo'n exploits, ongeacht vendor.

Een overheid zou er immers veel meer geld voor over hebben, en dat is dan ook waar je je prijs moet op baseren.
19-01-2018, 12:15 door Anoniem
Door Anoniem: Dit zou eigenlijk de normale prijs moeten zijn voor zo'n exploits, ongeacht vendor.

Een overheid zou er immers veel meer geld voor over hebben, en dat is dan ook waar je je prijs moet op baseren.

Waar zou dat geld dan vandaan moeten komen in het geval dat het om software van een eenmanszaak gaat of een open source project zonder financiële middelen?

Of wil je zeggen dat de overheid dan maar een potje beschikbaar moet stellen voor slechte software?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.