Bedrijf looft 3 miljoen dollar uit voor Android- en iPhone-hack
Een nieuwe startup heeft 3 miljoen dollar uitgeloofd voor zeroday-lekken waardoor het mogelijk is om Androidtelefoons en iPhones op afstand mee over te nemen en volledige controle over het toestel te behouden. Crowdfense, zoals het bedrijf heeft, zegt dat het 10 miljoen dollar ter beschikking heeft.
Het geld is onderdeel van een nieuw beloningsprogramma dat onderzoekers voor het melden van onbekende kwetsbaarheden in Android, iOS en Windows beloont. De hoogste beloningen zijn voor kwetsbaarheden in Android en iOS. Het gaat om beveiligingslekken waardoor een aanvaller zonder interactie van de gebruiker op afstand code op het systeem kan uitvoeren en vervolgens ook zijn controle over het systeem behoudt. Dergelijke exploits leveren 3 miljoen dollar op.
Voor een kwetsbaarheid in Safari waardoor een iPhone via één click van de gebruiker kan worden overgenomen betaalt het bedrijf 2,5 miljoen dollar. In het geval van Google Chrome op Android wordt een dergelijke exploit met 2 miljoen dollar beloond. Een aanval via Chrome op Windows waardoor een aanvaller willekeurige code op het systeem kan uitvoeren levert 1,5 miljoen dollar op. Dat is meer dan de 500.000 dollar voor een exploit in Safari waardoor macOS kan worden overgenomen.
Crowdfense zegt dat het informatie over aangekochte zeroday-lekken alleen met "gecontroleerde geïnstitutionaliseerde entiteiten" deelt. Het bedrijf is niet de enige die zeroday-lekken aankoopt. Zo is er het bedrijf Zerodium, dat voor een iPhone-hack 1,5 miljoen dollar betaalt.
NK meldt zich als klant aan als NK?
quote Arnoud Engelfriet's juridische vraag van deze week
Deze bedrijven zijn d'r niet om de gevonden zwakheden/zero-days lekken door te spelen naar de fabrikant
zodat zij daarvoor patches kunnen maken.
Maar ze zijn d'r wel om deze 'foute-toegangsmogelijkheden' door te verkopen om zodoende flinke winst te maken.
Waarom is dit niet illegaal?
Het heeft natuurlijk z'n voordeel dat zero-days gevonden worden, echter, zou een producent het gevonden lek willen patchen, dan moeten ze eerst een aanzienlijk bedrag overmaken naar dit soort parasieten om te weten te komen wat het lek betreft. Dan nog, is er de grote kans dat zo'n parasiet de koopakte van zo'n zero-day met juridische clausules inpakt om geheimhouding te behouden en/of überhaupt deze lekken niet verkoopt aan de fabrikant om zodoende patching te voorkomen.
Mogen dit soort praktijken omdat ze de zero-days niet (gratis) publiekelijk maken?
Alhoewel, google publiceert ook lekken na 90 dagen , ook als de producent geen patch heeft uitgebracht.
ter vergelijking,
Als je het vanddaag-de-dag in je hoofd haalt om op internet uitleg te geven hoe een popcorn omgeving op te zetten, krijg je direct last met allerlei copyright instanties.
of
Als ik inventariseer hoe je bij alle auto's de deur kan openen en wegrijden en dit publiekelijk maak via internet, denk ik dat deze inbreek-informatie er niet lang op zou blijven staan.
Hoe kan hier wettelijk op worden gereageert, of willen overheden hier niets aan doen omdat zij de grootste afnemers zijn!?
Als je een gecontroleerde geïnstutionaliseerde entitteit bent - zoals recherche, forensisch lab, of een inlichtendienst - dan kun je wel degelijk het wettelijk recht hebben om in bepaalde gevallen in te breken.
De uitzonderingen wanneer en door wie het toch mag staan overigens ook in het wet, dus feitelijk wordt de wet niet overtreden.
(Net zoals telefoons aftappen, of brieven te openen, of een huis binnentreden - allemaal zaken die wettelijk verboden zijn behalve met toestemming van de OvJ/RC etc )
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
