Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Beveiligingsbedrijf koopt exploits voor al bekende Android- en iOS-lekken

Door , 16 reacties

Beveiligingsbedrijf Zimperium heeft een programma aangekondigd waarmee het exploits voor bekende Android- en iOS-lekken wil aankopen. Tot nu toe betalen bedrijven alleen voor zero days, die nog niet bij de softwareleverancier bekend zijn. Het bedrijf wil leren hoe de exploits werken.

Zimperium, hetzelfde bedrijf dat in 2015 het Stagefright-lek in Android ontdekte, schrijft dat de waarde van een lek daalt naar bijna nul, als dit bekend is bij de softwareleverancier. Hetzelfde geldt voor de bijbehorende exploits. Het bedrijf meldt niet hoeveel een dergelijke exploit gemiddeld waard is, maar zegt dat het 1,5 miljoen dollar opzij wil zetten voor de aankoop ervan.

Verder claimt het dat het de actie is gestart om van de exploits te leren en om daarmee zijn eigen systemen te verbeteren. Bovendien wil het de exploits publiceren, tenzij de maker ervan zich daartegen verzet. Het publiceren gebeurt eerst binnen de Zimperium Handset Alliance, waarbij verschillende smartphonefabrikanten zijn aangesloten, zoals Samsung en BlackBerry.

Zimperium wil hun een tot drie maanden de tijd geven voordat het de exploit verder publiceert. Het bedrijf is onder andere op zoek naar exploits die op afstand of lokaal te gebruiken zijn. Het zegt niet geïnteresseerd te zijn in het kopen van zero days. Andere bedrijven doen dat wel en bieden hoge bedragen, bijvoorbeeld voor een lek dat een remote jailbreak mogelijk maakt. In dat geval kan de koopsom oplopen tot 1,5 miljoen dollar.

Reacties (16)

Wijzig sortering
Stel nou dat we met een crowdsourcing actie geld bij elkaar zouden leggen om mee te bieden op de vulnerabilities. Dat moeten we met elkaar toch makkelijk kunnen winnen?

Vervolgactie: informatie over de exploits doorgeven aan de betrokken leveranciers en x tijd geven om het op te lossen voor we de exploits vrij geven.

Is dat wat?
Wat dacht je ervan dat de betreffende bedrijven ( apple, google, samsung, lg, oneplus etc ) zelf gaan investeren om hun platform dicht te timmeren?
Inderdaad. Laat ze dat klusje maar lekker zelf opknappen. Wij kopen producten, en dan is het niet onze verantwoordelijkheid dat daar lekken in zitten, en dan moeten we ook nog gaan lappen om de fabrikanten de lekken te laten dichten? Ik dacht het even niet.

@Marcel-Jan:
Begrijp me niet verkeerd hoor. Goed dat je meedenkt, maar ik denk niet dat de consument aan het wachten is op het betalen van vulnerabilities wat de verantwoordelijkheid is van de fabrikant.

[Reactie gewijzigd door AnonymousWP op 1 februari 2017 14:30]

Okee, toegegeven: je zou je als meebieder er voor kunnen zorgen dat de leverancier zegt "Prima, doe jij het maar". Dat wordt een soort spanningsveld.

Mijn gedachtekronkel was: kennelijk worden er exploits ter verkoop aangeboden en ze komen nu niet terecht waar we als consumenten er veiliger van worden. De leveranciers hadden misschien wat moeten doen, maar doen het niet of niet genoeg. Dus wie verliest er dan uiteindelijk?
Ik vind het wel een goed punt. Maar misschien is dit meer een taak voor de overheid: het gaat om iets dat in het algemeen belang is, waar mensen niet echt een individueel belang bij hebben. De overheid kan een combinatie toepassen van regulering voor computerbedrijven (zorg ervoor dat je spullen niet lek zijn) en geld geven aan mensen die de lekken opsporen.
En wat doet Samsung met goedkopere telefoons? Juist. Niet updaten. Misschien willen ze wel Android 4.4.2 kopen met allemaal beveiligingslekken erin😜
Er bestaan al programma's bij de bedrijven die je noemt waarbij er vergoedingen worden uitgeloofd voor het melden van lekken.

Uiteraard zijn de opbrengsten op de zwarte markt hoger dan de geboden vergoedingen, maar dat zal altijd zo blijven. Een persoon / instantie met kwade bedoelingen kan namelijk veel meer inkomsten genereren uit zo'n zero day exploit.
Wel niet gaan zeuren als een 'veilige' iPhone ineens 1500¤ kost.
In het geval van Apple word er al veel in security gestoken, kijk maar hoeveel moeite de FBI moest doen om de iPhone te kraken, en hoelang het duurt voordat een jailbreak uitkomt.

Helaas staat er tegenover elke devver die je 8 uur per dag op security zet waarschijnlijk 4 nerds die 20 uur per dag de software aanvallen en zwakheden proberen te ontdekken.
Waarom zou je dat doen? Dan gaan we tegen elkaar opbieden en de leveranciers krijgen(!) altijd de exploit.
Lijkt me zeer interessant. Zoals het artikel al aangeeft daalt de waarde van zo'n exploit gigantisch als het geen zero day is, dus dit is niet te vergelijken met wat bedrijven zoals Zerodium betalen voor iOS zero days (tot 1,5 miljoen!)

Maar ze kunnen er erg veel van leren, vaak zijn zulke exploits niet super verfijnd maar wel creatief en (sorry voor het cliché) out of the box. De exploit op zich misschien niet, maar de techniek zelf kan best wel eens elders toe te passen zijn dus zijn geld dubbel en dik waard.

En hopelijk stimuleert dit ook research naar reeds bekende lekken of bestaande exploit kits waar men zich nu heel erg focust op zero days (waar voor de doorsnee huis tuin en keuken gebruiker nu niet de grootste dreiging zit).
Ik lees juist heel vaak dat exploits slordig zijn geprogrammeerd en vaker niet dan wel werken vanwege de bugs.
Het gaat niet om het wel of niet werken, het gaat om het concept wat erachter zit, als het concept werkt dan is het waardevol, de implementatie kan iedere tiepmiep met een laptop dan wel maken.
Maar daar gaat het nu toch juist om? Om die implementaties?
Wat kost een exploit voor een goed lek, een paar maandjes nadat hij bekend is?
Koop je zoiets voor 100 euro? Ik bedoel, er zijn nog genoeg android 4.4 en 5.1 telefoons die zo lek zijn als een mandje die je dus als aanvaller zeer goedkoop kan exploiteren.
Vraag en aanbod. Afhankelijk van hoe groot de vraag is en hoeveel moeite het kost een vulnerability daadwerkelijk te exploiteren.
Aangaande alle partijen die deze exploits (op)kopen:

Wordt dit enkel gedaan ten voordele van de consument/eind-gebruiker? Probably not but lets hope so.. (zeker qua zero-days betreft :+ )

[Reactie gewijzigd door born4trance op 3 februari 2017 01:42]

Op dit item kan niet meer gereageerd worden.


Nintendo Switch Google Pixel XL 2 LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*