Nintendo looft tot 20.000 dollar uit voor 3DS-kwetsbaarheden

Nintendo is begonnen met bug bounties uit te loven voor mensen die kwetsbaarheden in de Nintendo 3DS weten op te sporen en te melden. Het Japanse bedrijf wil voornamelijk cheats, illegale kopieën en veiligheidsgaten voorkomen en bestrijden.

Nintendo zegt op het moment alleen interesse te hebben in bugs voor de verschillende handhelds die onder de 3DS-noemer vallen. Het Japanse bedrijf zegt dat het voor bugmeldingen 100 tot 20.000 dollar zal betalen. Nintendo mag zelf bepalen of een melding in aanmerking komt voor zo'n beloning en hoe hoog die zal zijn. Dat zal afhangen van de kwaliteit van de melding en hoe belangrijk de informatie is.

Nintendo logo groot Functionele exploitcode is belangrijk, maar Nintendo moedigt onderzoekers ook aan om melding van een kwetsbaarheid te maken zelfs als ze geen werkende exploitcode klaar hebben. In die gevallen zijn ze alsnog de eerste die een melding maken en Nintendo geeft ze daarna nog drie weken om de code op te stellen en in te sturen.

Nintendo werkt voor de bug bounties samen met whitehat-hackerplatform HackerOne, dat in 2012 is opgericht. Drie van de vier oprichters zijn Nederlanders. Ook aangesloten bij het platform zijn Pornhub, Uber, Twitter, Starbucks, Pentagon en Riot Games. Het bedrijf heeft ook een vestiging in Groningen.

Grote bedrijven als Google, Twitter en Facebook hebben al langer een bugbounty-programma. Toch is Nintendo niet de enige die relatief laat met dergelijke praktijken begint. Dit jaar nog heeft ook Apple dit opgepakt. Sinds eerder deze maand heeft bovendien de Europese Unie budget beschikbaar gemaakt voor een dergelijk programma.

Reacties (37)

Tessa vd Heide 6 december 2016 13:47

Ben bang dat het voor Nintendo met de 3DS te laat is. Er is al volledig toegang tot het systeem mogelijk, met Custom Firmware vanuit coldboot. Het enige wat nog niet mogelijk is, is het laden van .3ds files, maar dat is te omzeilen om alsnog games te installeren, zelfs als die nog niet uit zijn, zoals het geval met Pokémon Sun/Moon was.

Zenety @Tessa vd Heide • 6 december 2016 13:49

Maar het laden van custom firmware op de laatste firmware van de 3DS is nog niet mogelijk helaas. Ook heeft de nieuwe Pokemon Sun/Moon een nieuwe AP check die ervoor zorgt dat de games ook nog eens niet laden op de gehackte kaartjes (neem aan dat ik de naam niet mag noemen).

Je moet juist geluk hebben dat je een 3DS hebt met nog oude firmware om er echt wat mee te kunnen. Homebrew (gedeeltelijk mogelijk op de laatste firmware), gratis e-shop of .cia games draaien bijvoorbeeld.

[Reactie gewijzigd door Zenety op 2 augustus 2024 07:46]

Tessa vd Heide @Zenety • 6 december 2016 13:55

Maar het laden van custom firmware op de laatste firmware van de 3DS is nog niet mogelijk helaas.

Dit is niet helemaal waar. Ja het is niet direct mogelijk, maar via een omweg wel (een andere 3DS met CFW en system transfer) waardoor downgraden alsnog mogelijk is en je alsnog CFW kan installeren. Het is moeilijk en niet echt weggelegd voor de "gewone" gebruiker, maar wel degelijk mogelijk.
Wat betreft de nieuwe AP van PokÃ©mon Sun/Moon, ja het pakt flashcards aan. Maar mensen met CFW kunnen de eshop versie installeren, rechtstreeks van de eshop (er gaan natuurlijk wel wat stappen aan vooraf) dus voor de mensen met CFW maakt het niks uit. Die kunnen namelijk gewoon updaten vanuit hun CFW.

Het is inderdaad het allermakkelijkste om een 3DS op een oude firmware (9.2.0-20 om precies te zijn) te hebben, omdat daar een ARM9 Kernel exploit voor is, iets waar Nintendo nu op zoek naar is

Volgens mij alleen wel te laat.

Zenety @Tessa vd Heide • 6 december 2016 13:57

Ik ken helaas niemand met een 3DS die wel CFW heeft en zit ik dus vast op de laatste firmware. Daar doelde ik een beetje op dat er vrij weinig mensen zijn die al iemand in de buurt hebben met een gemodde 3DS.

Maar je hebt inderdaad gelijk, mogelijkheden zijn er nog.

Bundin @Zenety • 6 december 2016 14:44

Zelfs wanneer het 'te laat' is en exploits in het wild niet meer uit te roeien zijn, is een programma als deze nuttig. Al is het maar om kwetsbaarheden inzichtelijk te maken, waarmee je eigen mensen meer kennis vergaren. Dit kan herhaling in de toekomst helpen voorkomen.

Daarnaast: het hoeft niet onmogelijk te zijn voor iedereen, als het maar moeilijk genoeg is voor de massa. Downgraden en software installeren is alvast een hoop moeilijker dan een kaartje online bestellen en die inprikken. Daarmee is het wel klaar voor Henk, Ingrid en Bundin.

[Reactie gewijzigd door Bundin op 2 augustus 2024 07:46]

Donvermicelli @Bundin • 6 december 2016 15:18

Ik heb dan ook het vermoeden dat ze dit doen om eventuele kwetsbaarheden wat betreft DRM met de kaartjes te voorkomen op de Switch zodat ze daar die inkomsten niet gaan mislopen.

YangWenli @Tessa vd Heide • 6 december 2016 16:32

Yep. As usual is Nintendo console weer finaal gehacked.

Beetje triest, ben geen moraal ridder, maar als een spel goed is mogen de makers daar wel een financiële beloning voor krijgen. Games maken kost geld- het is geen vrijwilligerswerk.

Maar er zijn ook mensen die hun Nintendo console hacken voor het spelen van Japanse spellen of voor undub/uncensor patches en daar heb ik geen problemen mee.

novasurp @YangWenli • 6 december 2016 18:22

Wat is het punt van een "undub"-patch?

Nas T @novasurp • 6 december 2016 22:13

Dat je niet het creatieve talent wilt verpesten met een slechte nasynchronisatie.

Nintendo mag zelf bepalen of een melding in aanmerking komt voor zo'n beloning en hoe hoog die zal zijn. Dat zal afhangen van de kwaliteit van de melding en hoe belangrijk de informatie is.

Oeh....moeilijk...Ik zou zelf niet gecharmeerd worden om beloond te worden door een gesloten systeem en ik zou mijn animo ook snel verliezen. En ik denk/hoop veel hackers met mij. Misschien kan Nintendo de hoogte van het bedrag juist inschatten, maar laat dan zien op welke basis dat is.

bombermannbelgi @YangWenli • 7 december 2016 07:08

Is inderdaad waarheid... Vroeger pendelde ik ook ook vaak tussen Belgie en de VS, en weet dat ik ooit nog mijn console heb laten modden om mijn originele US spellen hier te kunnen spelen... En het is inderdaad zo, dat games-makers, geen vrijwilligers werk uitvoeren.

Spinal 6 december 2016 15:20

Nintendo werkt voor de bug bounties samen met whitehat-hackerplatform HackerOne [...]. Het bedrijf heeft ook een vestiging in Den Haag.

Uh... en Groningen niet te vergeten. De plek waar het is opgericht en nog steeds zit!

anargeek @Spinal • 6 december 2016 15:49

Sterker, ik kan nergens terugvinden dat ze in Den Haag zitten. De website rept enkel over het hoofdkantoor in San Francisco en een tweede kantoor in Groningen. De vacatures zijn ook allemaal (op 1 remote functie na) in San Francisco

[Reactie gewijzigd door anargeek op 2 augustus 2024 07:46]

CTVirus @anargeek • 6 december 2016 16:57

De enige vacature die we momenteel in Groningen hebben (evt. zelfs remote), is voor 'Software Engineer, infrastructure'. Meer info: https://hackerone.com/careers (de vacature voor San Francisco is equivalent)

We hadden idd een tijd terug een kantoor in Den Haag.

Sugocy 6 december 2016 13:47

Met oog op de Switch geen slecht idee me dunkt.

Maar pakken ze hiermee ook de nepkaartjes met microsd slot aan?

[Reactie gewijzigd door Sugocy op 2 augustus 2024 07:46]

novasurp @Sugocy • 6 december 2016 19:04

Dat is het punt juist.

lorddusk 6 december 2016 13:58

Op reddit gaan zware geruchten dat dit een hoax is.

CTVirus @lorddusk • 6 december 2016 16:58

Nee, geen hoax. (ik ben een werknemer van HackerOne)

DigitalExorcist @lorddusk • 6 december 2016 15:14

Op Reddit zitten ook mensen die serieus denken dat de Aarde plat is, en dat er chemtrails bestaan.

AJediIAm @lorddusk • 6 december 2016 15:22

Ik snap de -1 niet. Het is correct verwoord (geruchten op reddit) en relevant voor het artikel.

svennd 6 december 2016 14:01

100-20k dat is wel een serieuze marge... 3 weken klinkt echt als werk voor ons gratis, en wij bepalen dan of we al dan niet betalen.

Dutch_CroniC @svennd • 6 december 2016 14:30

Je hoeft niet 3 weken te werken voor niets.
De bedoeling is dat je zelf wat schrijft wat een kwetsbaarheid kan benutten.

Je kan ook de kwetsbaarheid aantonen, maar dan moet je wel binnen 3 weken code aanleveren die dat benut.

Tweakmans 6 december 2016 14:05

Gek dat ze dit alleen voor de 3DS doen. Wii U is niet (meer) belangrijk voor het bedrijf?

anargeek @Tweakmans • 6 december 2016 14:15

Nee, Nintendo is al gestopt met het produceren van nieuwe Wii U's

IJsbreker @Tweakmans • 6 december 2016 15:01

Dat is inderdaad gek. Aangezien de Wii U ondertussen ook gehackt is, lopen ze nu omzet op de software mis.

Bron: https://gbatemp.net/threa...le-progress-guide.338900/

RoestVrijStaal 6 december 2016 14:48

Jammer. Dit gaat de Homebrew community niet goed doen.
Ik hoop dat veel whitehackers hun neus voor het bedrag ophalen, want een vetpot is het niet.

Zelf gebruik ik een softmod zodat ik homebrew kan draaien om savegames van mijn spellen te backuppen.

Ooit heeft mij dat een hoop speeluren gescheeld omdat een kaartje van een spel prut is geworden en de game niet meer wou starten.

Hup savegame backuppen (duurde een aantal keer voordat die het correct kon uitlezen), spel kaartje tweedehands kopen en je eigen save op het betrouwbare kaartje zetten. Mijn dag weer goed.

Toegevoegde noot:
Let wel, ik heb het hier over de bestanden die de staat van de games vasthouden en geproduceerd worden door de games. Niet over de zogenoemde roms van de games!

[Reactie gewijzigd door RoestVrijStaal op 2 augustus 2024 07:46]

Verwijderd @RoestVrijStaal • 6 december 2016 15:35

Homebrew is toch de policor term voor gejatte spelletjes?

novasurp @Verwijderd • 6 december 2016 19:07

Nee, "Homebrew" is het zelf bij elkaar programmeren van een spelletje en dat dan op een console draaiend krijgen waarvoor je geen ontwikkelaarslicentie hebt. Vaak worden deze methoden vervolgens misbruikt voor piraterij. Shady is het wel.

Xfade @Verwijderd • 6 december 2016 16:12

Niet per sé. In het begin van een console hack is het vaak zo dat je wel homebrow games en apps kan spelen maar geen game backups.

Echter de term wordt bijna altijd wel gelinked aan spelen van backups.

anargeek 6 december 2016 14:10

Goede actie. Het succes van de verschillende bugplatformen helpt de industrie veiliger te maken, zowel op het gebied van internet, besturingssystemen, software, als dus consoles. Hoe meer grote partijen meedoen met dit soort programmas, hoe eerder "whitehat hackers" dit soort meldingen zullen maken. De kloof tussen hackers en ontwikkelaars wordt op deze manier verkleind, en de hackers zien iets terug voor hun moeite (ook al is een monetaire vergoeding absoluut niet gegarandeerd, het is een mooi incentive voor hackers en een manier om goed gedrag te belonen)

Ik doe ook mee met bugbounty programmas, en het grootste punt waar ik tegen aan loop is dat bedrijven het niet serieus nemen. Dit soort nieuwsberichten doen me daarom goed. Hopelijk zien kleinere bedrijven dit ook en gaan ze dit soort meldingen serieuzer oppakken. Maar dat "de Groten" het goede voorbeeld geven is een stap in de juiste richting

[Reactie gewijzigd door anargeek op 2 augustus 2024 07:46]

SnoeiKoei

6 december 2016 14:31

Sony looft 21.000 dollar uit voor Nintendo 3ds kwetsbaarheden.

Tri Force

Consoles

6 december 2016 17:25

De oorsprong van het probleem aanpakken is de beste optie.

Maar hopelijk gaat Nintendo ook de handel meer aanpakken.

De meeste Flash cards zijn inmiddels illegaal of alles wat dezelfde functie heeft maar de handel gaat vrolijk door...

Via flashcards betaal men nog niet eens één tiende van de winkelwaarde.

Vaak wordt het dan ook nog eens vrolijk doorverkocht met de reden van dat hardmod of softmod en of flashcards niet gratis zijn.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (37)

Sorteer op:

Weergave: