Beveiligingsbedrijf koopt exploits voor al bekende Android- en iOS-lekken

Beveiligingsbedrijf Zimperium heeft een programma aangekondigd waarmee het exploits voor bekende Android- en iOS-lekken wil aankopen. Tot nu toe betalen bedrijven alleen voor zero days, die nog niet bij de softwareleverancier bekend zijn. Het bedrijf wil leren hoe de exploits werken.

Zimperium, hetzelfde bedrijf dat in 2015 het Stagefright-lek in Android ontdekte, schrijft dat de waarde van een lek daalt naar bijna nul, als dit bekend is bij de softwareleverancier. Hetzelfde geldt voor de bijbehorende exploits. Het bedrijf meldt niet hoeveel een dergelijke exploit gemiddeld waard is, maar zegt dat het 1,5 miljoen dollar opzij wil zetten voor de aankoop ervan.

Verder claimt het dat het de actie is gestart om van de exploits te leren en om daarmee zijn eigen systemen te verbeteren. Bovendien wil het de exploits publiceren, tenzij de maker ervan zich daartegen verzet. Het publiceren gebeurt eerst binnen de Zimperium Handset Alliance, waarbij verschillende smartphonefabrikanten zijn aangesloten, zoals Samsung en BlackBerry.

Zimperium wil hun een tot drie maanden de tijd geven voordat het de exploit verder publiceert. Het bedrijf is onder andere op zoek naar exploits die op afstand of lokaal te gebruiken zijn. Het zegt niet geïnteresseerd te zijn in het kopen van zero days. Andere bedrijven doen dat wel en bieden hoge bedragen, bijvoorbeeld voor een lek dat een remote jailbreak mogelijk maakt. In dat geval kan de koopsom oplopen tot 1,5 miljoen dollar.

Door Sander van Voorst

Nieuwsredacteur

Feedback • 01-02-2017 13:39 16

01-02-2017 • 13:39

16

Lees meer

Apple verhoogt maximale bugbountybeloning voor iOS naar miljoen dollar
Apple verhoogt maximale bugbountybeloning voor iOS naar miljoen dollar Nieuws van 8 augustus 2019
Ontdekker Broadpwn-lek toont mobiele wifi-worm tijdens presentatie
Ontdekker Broadpwn-lek toont mobiele wifi-worm tijdens presentatie Nieuws van 28 juli 2017
AirDroid brengt fix uit voor zeven maanden lang bekend beveiligingsprobleem
AirDroid brengt fix uit voor zeven maanden lang bekend beveiligingsprobleem Nieuws van 8 december 2016
App AirDroid fikst zeven maanden geleden erkend beveiligingsprobleem - update
App AirDroid fikst zeven maanden geleden erkend beveiligingsprobleem - update Nieuws van 2 december 2016
Politie mag zero-days voor terughacken onder de pet houden - update
Politie mag zero-days voor terughacken onder de pet houden - update Nieuws van 8 november 2016
'Kabinet wil dat politiehackers zero-days verzwijgen met het oog op hergebruik'
'Kabinet wil dat politiehackers zero-days verzwijgen met het oog op hergebruik' Nieuws van 21 oktober 2016
Securitybedrijven ontdekken drie zero days in iOS die actief werden misbruikt
Securitybedrijven ontdekken drie zero days in iOS die actief werden misbruikt Nieuws van 25 augustus 2016
Bedrijf biedt tot 500.000 dollar beloning voor iOS 9.3-zero days
Bedrijf biedt tot 500.000 dollar beloning voor iOS 9.3-zero days Nieuws van 10 augustus 2016
Lek in video-engine Android maakt apparaten kraken makkelijk - update
Lek in video-engine Android maakt apparaten kraken makkelijk - update Nieuws van 27 juli 2015
Meer producten en artikelen
Netwerk en systeembeheer Apple Google Android iOS Security

Reacties (16)

-Moderatie-faq
16
16
12
0
0
3
Wijzig sortering
Marcel-Jan 1 februari 2017 14:18
Stel nou dat we met een crowdsourcing actie geld bij elkaar zouden leggen om mee te bieden op de vulnerabilities. Dat moeten we met elkaar toch makkelijk kunnen winnen?

Vervolgactie: informatie over de exploits doorgeven aan de betrokken leveranciers en x tijd geven om het op te lossen voor we de exploits vrij geven.

Is dat wat?
Mschrijver88 @Marcel-Jan1 februari 2017 14:25
Wat dacht je ervan dat de betreffende bedrijven ( apple, google, samsung, lg, oneplus etc ) zelf gaan investeren om hun platform dicht te timmeren?
Anonymoussaurus
@Mschrijver881 februari 2017 14:27
Inderdaad. Laat ze dat klusje maar lekker zelf opknappen. Wij kopen producten, en dan is het niet onze verantwoordelijkheid dat daar lekken in zitten, en dan moeten we ook nog gaan lappen om de fabrikanten de lekken te laten dichten? Ik dacht het even niet.

@Marcel-Jan:
Begrijp me niet verkeerd hoor. Goed dat je meedenkt, maar ik denk niet dat de consument aan het wachten is op het betalen van vulnerabilities wat de verantwoordelijkheid is van de fabrikant.

[Reactie gewijzigd door Anonymoussaurus op 22 juli 2024 17:43]

Marcel-Jan @Anonymoussaurus1 februari 2017 15:28
Okee, toegegeven: je zou je als meebieder er voor kunnen zorgen dat de leverancier zegt "Prima, doe jij het maar". Dat wordt een soort spanningsveld.

Mijn gedachtekronkel was: kennelijk worden er exploits ter verkoop aangeboden en ze komen nu niet terecht waar we als consumenten er veiliger van worden. De leveranciers hadden misschien wat moeten doen, maar doen het niet of niet genoeg. Dus wie verliest er dan uiteindelijk?
Cerberus_tm @Marcel-Jan1 februari 2017 19:44
Ik vind het wel een goed punt. Maar misschien is dit meer een taak voor de overheid: het gaat om iets dat in het algemeen belang is, waar mensen niet echt een individueel belang bij hebben. De overheid kan een combinatie toepassen van regulering voor computerbedrijven (zorg ervoor dat je spullen niet lek zijn) en geld geven aan mensen die de lekken opsporen.
lb2001 @Anonymoussaurus1 februari 2017 22:22
En wat doet Samsung met goedkopere telefoons? Juist. Niet updaten. Misschien willen ze wel Android 4.4.2 kopen met allemaal beveiligingslekken erin😜
boyd91 @Mschrijver881 februari 2017 14:30
Er bestaan al programma's bij de bedrijven die je noemt waarbij er vergoedingen worden uitgeloofd voor het melden van lekken.

Uiteraard zijn de opbrengsten op de zwarte markt hoger dan de geboden vergoedingen, maar dat zal altijd zo blijven. Een persoon / instantie met kwade bedoelingen kan namelijk veel meer inkomsten genereren uit zo'n zero day exploit.
ThaStealth @Mschrijver881 februari 2017 14:57
Wel niet gaan zeuren als een 'veilige' iPhone ineens 1500€ kost.
In het geval van Apple word er al veel in security gestoken, kijk maar hoeveel moeite de FBI moest doen om de iPhone te kraken, en hoelang het duurt voordat een jailbreak uitkomt.

Helaas staat er tegenover elke devver die je 8 uur per dag op security zet waarschijnlijk 4 nerds die 20 uur per dag de software aanvallen en zwakheden proberen te ontdekken.
Verwijderd @Marcel-Jan1 februari 2017 14:37
Waarom zou je dat doen? Dan gaan we tegen elkaar opbieden en de leveranciers krijgen(!) altijd de exploit.
Dasprive 1 februari 2017 14:33
Lijkt me zeer interessant. Zoals het artikel al aangeeft daalt de waarde van zo'n exploit gigantisch als het geen zero day is, dus dit is niet te vergelijken met wat bedrijven zoals Zerodium betalen voor iOS zero days (tot 1,5 miljoen!)

Maar ze kunnen er erg veel van leren, vaak zijn zulke exploits niet super verfijnd maar wel creatief en (sorry voor het cliché) out of the box. De exploit op zich misschien niet, maar de techniek zelf kan best wel eens elders toe te passen zijn dus zijn geld dubbel en dik waard.

En hopelijk stimuleert dit ook research naar reeds bekende lekken of bestaande exploit kits waar men zich nu heel erg focust op zero days (waar voor de doorsnee huis tuin en keuken gebruiker nu niet de grootste dreiging zit).
Verwijderd @Dasprive1 februari 2017 14:38
Ik lees juist heel vaak dat exploits slordig zijn geprogrammeerd en vaker niet dan wel werken vanwege de bugs.
ThaStealth @Verwijderd1 februari 2017 14:59
Het gaat niet om het wel of niet werken, het gaat om het concept wat erachter zit, als het concept werkt dan is het waardevol, de implementatie kan iedere tiepmiep met een laptop dan wel maken.
Verwijderd @ThaStealth1 februari 2017 15:10
Maar daar gaat het nu toch juist om? Om die implementaties?
SpiceWorm 1 februari 2017 13:54
Wat kost een exploit voor een goed lek, een paar maandjes nadat hij bekend is?
Koop je zoiets voor 100 euro? Ik bedoel, er zijn nog genoeg android 4.4 en 5.1 telefoons die zo lek zijn als een mandje die je dus als aanvaller zeer goedkoop kan exploiteren.
RedPixel @SpiceWorm1 februari 2017 14:01
Vraag en aanbod. Afhankelijk van hoe groot de vraag is en hoeveel moeite het kost een vulnerability daadwerkelijk te exploiteren.
born4trance 3 februari 2017 01:38
Aangaande alle partijen die deze exploits (op)kopen:

Wordt dit enkel gedaan ten voordele van de consument/eind-gebruiker? Probably not but lets hope so.. (zeker qua zero-days betreft :+ )

[Reactie gewijzigd door born4trance op 22 juli 2024 17:43]

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq