Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Nintendo looft tot 20.000 dollar uit voor 3DS-kwetsbaarheden

Door , 37 reacties, submitter: HtheB

Nintendo is begonnen met bug bounties uit te loven voor mensen die kwetsbaarheden in de Nintendo 3DS weten op te sporen en te melden. Het Japanse bedrijf wil voornamelijk cheats, illegale kopieŽn en veiligheidsgaten voorkomen en bestrijden.

Nintendo zegt op het moment alleen interesse te hebben in bugs voor de verschillende handhelds die onder de 3DS-noemer vallen. Het Japanse bedrijf zegt dat het voor bugmeldingen 100 tot 20.000 dollar zal betalen. Nintendo mag zelf bepalen of een melding in aanmerking komt voor zo'n beloning en hoe hoog die zal zijn. Dat zal afhangen van de kwaliteit van de melding en hoe belangrijk de informatie is.

Nintendo logo grootFunctionele exploitcode is belangrijk, maar Nintendo moedigt onderzoekers ook aan om melding van een kwetsbaarheid te maken zelfs als ze geen werkende exploitcode klaar hebben. In die gevallen zijn ze alsnog de eerste die een melding maken en Nintendo geeft ze daarna nog drie weken om de code op te stellen en in te sturen.

Nintendo werkt voor de bug bounties samen met whitehat-hackerplatform HackerOne, dat in 2012 is opgericht. Drie van de vier oprichters zijn Nederlanders. Ook aangesloten bij het platform zijn Pornhub, Uber, Twitter, Starbucks, Pentagon en Riot Games. Het bedrijf heeft ook een vestiging in Groningen.

Grote bedrijven als Google, Twitter en Facebook hebben al langer een bugbounty-programma. Toch is Nintendo niet de enige die relatief laat met dergelijke praktijken begint. Dit jaar nog heeft ook Apple dit opgepakt. Sinds eerder deze maand heeft bovendien de Europese Unie budget beschikbaar gemaakt voor een dergelijk programma.

6 december 2016 13:44

37 reacties

Submitter: HtheB

Linkedin Google+

Reacties (37)

Wijzig sortering
Ben bang dat het voor Nintendo met de 3DS te laat is. Er is al volledig toegang tot het systeem mogelijk, met Custom Firmware vanuit coldboot. Het enige wat nog niet mogelijk is, is het laden van .3ds files, maar dat is te omzeilen om alsnog games te installeren, zelfs als die nog niet uit zijn, zoals het geval met Pokťmon Sun/Moon was.
Maar het laden van custom firmware op de laatste firmware van de 3DS is nog niet mogelijk helaas. Ook heeft de nieuwe Pokemon Sun/Moon een nieuwe AP check die ervoor zorgt dat de games ook nog eens niet laden op de gehackte kaartjes (neem aan dat ik de naam niet mag noemen).

Je moet juist geluk hebben dat je een 3DS hebt met nog oude firmware om er echt wat mee te kunnen. Homebrew (gedeeltelijk mogelijk op de laatste firmware), gratis e-shop of .cia games draaien bijvoorbeeld.

[Reactie gewijzigd door Zenety op 6 december 2016 13:49]

Maar het laden van custom firmware op de laatste firmware van de 3DS is nog niet mogelijk helaas.
Dit is niet helemaal waar. Ja het is niet direct mogelijk, maar via een omweg wel (een andere 3DS met CFW en system transfer) waardoor downgraden alsnog mogelijk is en je alsnog CFW kan installeren. Het is moeilijk en niet echt weggelegd voor de "gewone" gebruiker, maar wel degelijk mogelijk.
Wat betreft de nieuwe AP van Pokémon Sun/Moon, ja het pakt flashcards aan. Maar mensen met CFW kunnen de eshop versie installeren, rechtstreeks van de eshop (er gaan natuurlijk wel wat stappen aan vooraf) dus voor de mensen met CFW maakt het niks uit. Die kunnen namelijk gewoon updaten vanuit hun CFW.

Het is inderdaad het allermakkelijkste om een 3DS op een oude firmware (9.2.0-20 om precies te zijn) te hebben, omdat daar een ARM9 Kernel exploit voor is, iets waar Nintendo nu op zoek naar is ;) Volgens mij alleen wel te laat.
Ik ken helaas niemand met een 3DS die wel CFW heeft en zit ik dus vast op de laatste firmware. Daar doelde ik een beetje op dat er vrij weinig mensen zijn die al iemand in de buurt hebben met een gemodde 3DS.

Maar je hebt inderdaad gelijk, mogelijkheden zijn er nog.
Zelfs wanneer het 'te laat' is en exploits in het wild niet meer uit te roeien zijn, is een programma als deze nuttig. Al is het maar om kwetsbaarheden inzichtelijk te maken, waarmee je eigen mensen meer kennis vergaren. Dit kan herhaling in de toekomst helpen voorkomen.

Daarnaast: het hoeft niet onmogelijk te zijn voor iedereen, als het maar moeilijk genoeg is voor de massa. Downgraden en software installeren is alvast een hoop moeilijker dan een kaartje online bestellen en die inprikken. Daarmee is het wel klaar voor Henk, Ingrid en Bundin.

[Reactie gewijzigd door Bundin op 6 december 2016 14:48]

Ik heb dan ook het vermoeden dat ze dit doen om eventuele kwetsbaarheden wat betreft DRM met de kaartjes te voorkomen op de Switch zodat ze daar die inkomsten niet gaan mislopen.
Yep. As usual is Nintendo console weer finaal gehacked.

Beetje triest, ben geen moraal ridder, maar als een spel goed is mogen de makers daar wel een financiŽle beloning voor krijgen. Games maken kost geld- het is geen vrijwilligerswerk.

Maar er zijn ook mensen die hun Nintendo console hacken voor het spelen van Japanse spellen of voor undub/uncensor patches en daar heb ik geen problemen mee.
Wat is het punt van een "undub"-patch?
Dat je niet het creatieve talent wilt verpesten met een slechte nasynchronisatie.
Nintendo mag zelf bepalen of een melding in aanmerking komt voor zo'n beloning en hoe hoog die zal zijn. Dat zal afhangen van de kwaliteit van de melding en hoe belangrijk de informatie is.
Oeh....moeilijk...Ik zou zelf niet gecharmeerd worden om beloond te worden door een gesloten systeem en ik zou mijn animo ook snel verliezen. En ik denk/hoop veel hackers met mij. Misschien kan Nintendo de hoogte van het bedrag juist inschatten, maar laat dan zien op welke basis dat is.
Is inderdaad waarheid... Vroeger pendelde ik ook ook vaak tussen Belgie en de VS, en weet dat ik ooit nog mijn console heb laten modden om mijn originele US spellen hier te kunnen spelen... En het is inderdaad zo, dat games-makers, geen vrijwilligers werk uitvoeren.
Nintendo werkt voor de bug bounties samen met whitehat-hackerplatform HackerOne [...]. Het bedrijf heeft ook een vestiging in Den Haag.
Uh... en Groningen niet te vergeten. De plek waar het is opgericht en nog steeds zit!
Sterker, ik kan nergens terugvinden dat ze in Den Haag zitten. De website rept enkel over het hoofdkantoor in San Francisco en een tweede kantoor in Groningen. De vacatures zijn ook allemaal (op 1 remote functie na) in San Francisco

[Reactie gewijzigd door anargeek op 6 december 2016 15:51]

De enige vacature die we momenteel in Groningen hebben (evt. zelfs remote), is voor 'Software Engineer, infrastructure'. Meer info: https://hackerone.com/careers (de vacature voor San Francisco is equivalent)

We hadden idd een tijd terug een kantoor in Den Haag.
Met oog op de Switch geen slecht idee me dunkt. :o
Maar pakken ze hiermee ook de nepkaartjes met microsd slot aan?

[Reactie gewijzigd door Sugocy op 6 december 2016 13:48]

Dat is het punt juist.
Op reddit gaan zware geruchten dat dit een hoax is.
Nee, geen hoax. (ik ben een werknemer van HackerOne)
Op Reddit zitten ook mensen die serieus denken dat de Aarde plat is, en dat er chemtrails bestaan.
Ik snap de -1 niet. Het is correct verwoord (geruchten op reddit) en relevant voor het artikel.
100-20k dat is wel een serieuze marge... 3 weken klinkt echt als werk voor ons gratis, en wij bepalen dan of we al dan niet betalen.
Je hoeft niet 3 weken te werken voor niets.
De bedoeling is dat je zelf wat schrijft wat een kwetsbaarheid kan benutten.

Je kan ook de kwetsbaarheid aantonen, maar dan moet je wel binnen 3 weken code aanleveren die dat benut.
Gek dat ze dit alleen voor de 3DS doen. Wii U is niet (meer) belangrijk voor het bedrijf?
Nee, Nintendo is al gestopt met het produceren van nieuwe Wii U's
Dat is inderdaad gek. Aangezien de Wii U ondertussen ook gehackt is, lopen ze nu omzet op de software mis.

Bron: https://gbatemp.net/threa...le-progress-guide.338900/
Jammer. Dit gaat de Homebrew community niet goed doen.
Ik hoop dat veel whitehackers hun neus voor het bedrag ophalen, want een vetpot is het niet.

Zelf gebruik ik een softmod zodat ik homebrew kan draaien om savegames van mijn spellen te backuppen.

Ooit heeft mij dat een hoop speeluren gescheeld omdat een kaartje van een spel prut is geworden en de game niet meer wou starten.

Hup savegame backuppen (duurde een aantal keer voordat die het correct kon uitlezen), spel kaartje tweedehands kopen en je eigen save op het betrouwbare kaartje zetten. Mijn dag weer goed.

Toegevoegde noot:
Let wel, ik heb het hier over de bestanden die de staat van de games vasthouden en geproduceerd worden door de games. Niet over de zogenoemde roms van de games!

[Reactie gewijzigd door RoestVrijStaal op 6 december 2016 16:33]

Homebrew is toch de policor term voor gejatte spelletjes?
Nee, "Homebrew" is het zelf bij elkaar programmeren van een spelletje en dat dan op een console draaiend krijgen waarvoor je geen ontwikkelaarslicentie hebt. Vaak worden deze methoden vervolgens misbruikt voor piraterij. Shady is het wel.
Niet per sť. In het begin van een console hack is het vaak zo dat je wel homebrow games en apps kan spelen maar geen game backups.

Echter de term wordt bijna altijd wel gelinked aan spelen van backups.
Goede actie. Het succes van de verschillende bugplatformen helpt de industrie veiliger te maken, zowel op het gebied van internet, besturingssystemen, software, als dus consoles. Hoe meer grote partijen meedoen met dit soort programmas, hoe eerder "whitehat hackers" dit soort meldingen zullen maken. De kloof tussen hackers en ontwikkelaars wordt op deze manier verkleind, en de hackers zien iets terug voor hun moeite (ook al is een monetaire vergoeding absoluut niet gegarandeerd, het is een mooi incentive voor hackers en een manier om goed gedrag te belonen)

Ik doe ook mee met bugbounty programmas, en het grootste punt waar ik tegen aan loop is dat bedrijven het niet serieus nemen. Dit soort nieuwsberichten doen me daarom goed. Hopelijk zien kleinere bedrijven dit ook en gaan ze dit soort meldingen serieuzer oppakken. Maar dat "de Groten" het goede voorbeeld geven is een stap in de juiste richting

[Reactie gewijzigd door anargeek op 6 december 2016 14:13]

Sony looft 21.000 dollar uit voor Nintendo 3ds kwetsbaarheden. :+
De oorsprong van het probleem aanpakken is de beste optie.

Maar hopelijk gaat Nintendo ook de handel meer aanpakken.

De meeste Flash cards zijn inmiddels illegaal of alles wat dezelfde functie heeft maar de handel gaat vrolijk door...

Via flashcards betaal men nog niet eens ťťn tiende van de winkelwaarde.

Vaak wordt het dan ook nog eens vrolijk doorverkocht met de reden van dat hardmod of softmod en of flashcards niet gratis zijn.

Op dit item kan niet meer gereageerd worden.


Nintendo Switch Google Pixel XL 2 LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*