Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Google start bug-bountyprogramma voor Android-apps waaronder Dropbox en Tinder

Google heeft op HackerOne het Google Play Security Reward Program opgezet. Ontwikkelaars van populaire apps kunnen zich aanmelden en Google beloont vinders van kwetsbaarheden. Hackers krijgen duizend dollar en een extra beloning van het Android Security-team.

Momenteel zijn acht apps onderdeel van het nieuwe bug-bountyprogramma. Het gaat om Alibaba, Dropbox, Duolingo, Headspace, Line, Mail.Ru, Snapchat en Tinder. Na verloop van tijd worden wellicht meer apps toegevoegd, zegt Google. App-ontwikkelaars moeten zich daarvoor aanmelden bij Google. Alleen populaire apps komen in aanmerking.

Om een bug bounty op te strijken, moeten hackers de kwetsbaarheid eerst melden aan de maker van de desbetreffende app. Vervolgens zal de app-ontwikkelaar samenwerken met de hacker om de kwetsbaarheid op te lossen. Als dat is gedaan, mag de hacker zijn vinding melden bij het Google Play Security Reward Program.

Binnen het programma op HackerOne looft Google een bedrag van duizend dollar per gevonden kwetsbaarheid uit, mits deze aan de gestelde criteria voldoet. Dat bedrag kan nog oplopen, want in de omschrijving meldt Google dat het Android Security-team een aanvullende beloning geeft om te 'bedanken voor het verbeteren van de beveiliging in het Google Play-ecosysteem'. Wat die aanvulling precies inhoudt, maakt Google niet bekend.

De beloning van het Google Play Security Reward-programma komt bovenop de beloning die hackers krijgen voor het melden van de kwetsbaarheid bij de ontwikkelaar van de app zelf. Veel van de deelnemende apps hebben ook een eigen bug-bountyprogramma op HackerOne.

Voorlopig komen alleen rce-kwetsbaarheden in aanmerking en hackers moeten daarbij een proof of concept laten zien die werkt op Android 4.4 of nieuwer. Hackers moeten via de kwetsbaarheid in de app code kunnen uitvoeren op het toestel van het slachtoffer zonder dat de gebruiker daar iets van zou merken of toestemming voor moet geven. Google meldt dat in de toekomst misschien ook andere kwetsbaarheden in aanmerking komen.

Het Google Play Rewards-programma staat los van het bug-bountyprogramma dat Google al heeft voor zijn eigen apps. Ook benadrukt Google dat hackers via het programma geen kwetsbaarheden moeten melden in apps die niet zijn aangesloten.

Door Julian Huijbregts

Nieuwsredacteur

20-10-2017 • 10:29

43 Linkedin Google+

Submitter: Meg

Reacties (43)

Wijzig sortering
De $1000 van Google is extra en komt bovenop wat je bij de appontwikkelaar zelf krijgt. Bij Dropbox is dat bijvoorbeeld $32768 voor een rce: https://hackerone.com/dropbox en bij Snapchat minimaal $15000: https://hackerone.com/snapchat
Grappig, die 32768 (=exact $8000 in hexadecimaal of 32 kilobyte).
Het enige waar ik aan dacht was iets met spanning-tree priority ;)
Het is ook 32 bit: 1024 * 2 ^ 5
Vind het ook wel grappig dat je dat weet.
We need these people _/-\o_
ik dacht ook al meteen dat het een bekend getal was! :)
Remote Code Execution on servers $32768
Significant Authentication Bypass $17,576

Denk je niet dat er partijen zijn die een veelvoud van bovenstaande er voor over hebben....

32K om vrij rond te kijken bij dropbox is niets... geen enkele medewerker bij dropbox kun je voor dat bedrag omkopen, terwijl benaderen van medewerkers altijd een risico vormt ook indien iemand chantabel is.
10 euro per uur voor onderzoek en ontwikkeling vanuit een kantoor/thuisomgeving is tegenwoordig al slavernij?

Woorden zijn kennelijk ook aan inflatie onderhevig...
Slavernij is het niet. Maar wel erg goedkope arbeidskrachten. Zeker als je er naar op zoek gaat.

Maar goed nu zoeken de meeste het gratis op. En ik vraag je af of 1000 euro voldoende is voor een mogelijke exploit die je voor veel meer kan verkopen.
In denk dat je de uitspraak in relatieve context tot de marktwaarde moet zien. Andere partijen bieden je voor dezelfde exploits snel 100x meer. Ook ligt het uurtarief van een professionele security auditor snel rond de 250 tot 600 euro per uur.
Je hebt duidelijk geen idee van de gigantische kosten die komen kijken bij zelfstandigen en personeel. Als zelfstandigen heb je geen arbeidsongeschiktsverzekering, geen werkloosheidsuitkering, etc.
De overheid geeft bijvoorbeeld 100,000 euro per PhD uit. De PhD student krijgt vervolgens iets van 30,000 euro bruto per jaar. De rest wordt allemaal uitgegeven aan de overige kosten.
Een zelfstandige vuilnisman verdient al 25 euro per uur en die hebben geen luxe leven daarom is 10 euro per uur is echt extreem weinig en daar komt nog bovenop dat er grote kans is dat het helemaal niet lukt.

De beloningen is daarom meer een soort winnen van een prijs voor hobby hackers en niet echt iets waarvan je kan leven.
Moderne slavernij.

Als iemand 100 uur bezig is met onderzoeken is dat 10 euro per uur....
Je moet het dan ook uit passie en eer doen. Je naam zal vermeld worden en je zal beslist ook nog een t-shirt krijgen. ;-)
Slavernij is nooit de juiste term voor zaken die vrijwillig gebeuren.
Wanneer is het vrijwillig?

Slavernij heeft in het westen een totaal verkeerd beeld gekregen dankzij de media,
waarin donkere personen constant klappen krijgen en worden beledigd.

Is niet zo.

Slavernij kent vele dimensies,
en je kent ook situaties die daar heel dichtbij komen,
https://nl.wikipedia.org/wiki/Lijfeigenschap
Dan ben je ook praktisch niet vrij.


En bij alle vormen geld, het is een vorm van bezit dat leeft. Mishandelen werkt averechts, je geeft net genoeg dat hij leeft en kan dromen.


En dat laatste is het kromme van dergelijke beloningen. Het zijn allemaal westerse bedrijven die naar mijn weten naar westerse maatstaven werken.... De beloning in het westen is hooguit voor een hobbiest/student die het als extra kan doen, je gaat er geen bedrijf mee runnen.
vrijwillig
vrij·wil·lig (bijvoeglijk naamwoord, bijwoord)
Uitspraak: [vrɛi'wɪləx]

wat je doet omdat je dat zelf wilt, niet omdat je het moet
uit eigen beweging, niet gedwongen

Voorbeeld: `een vrijwillige bijdrage`
Antoniem: verplicht
Synoniem: uit vrije wil
Westerse normen en waarden 🙂


In het westen blijft het fooi. De vraag blijft dan nog steeds waarom je dan dergelijke bedragen betaalt.


En het is niets vreemd,
hier in Nederland, maar ook andere landen worden ondergrenzen aangegeven voor ondernemers. Uurtarief moet hoger zijn.
Als je daar onder gaat zitten ontstaat er marktverstoring en is niet wenselijk.


Dit soort halve bounty-programma’s zitten daar dik onder, en zijn alleen interessant in landen met een veel lagere levensstandaard.
Op zich een goed initiatief maar "Alleen populaire apps komen in aanmerking." vind ik dan wel weer jammer. Hopelijk wordt dit uitgebreid. Google heeft hiermee wel een sterke troef in handen voor een veilige playstore.
Probleem is waarschijnlijk anders dat je een 'myhackable app' kunt maken en daar dan zelf je eigen bugs op kunt aanmelden?
Word te makkelijk misbruikt als alle apps in aanmerking komen gok ik. Iedereen en zijn moeder kan dan brakke apps uploaden en 1000 euro vangen.
Om een bug bounty op te strijken, moeten hackers de kwetsbaarheid eerst melden aan de maker van de desbetreffende app. Vervolgens zal de app-ontwikkelaar samenwerken met de hacker om de kwetsbaarheid op te lossen. Als dat is gedaan, mag de hacker zijn vinding melden bij het Google Play Security Reward Program.
Dan is het geen bug-bounty meer, maar gewoon salaris. Nog steeds welkom hoor, maar als ik een RCE vuln vind in een applicatie is het toch niet per se aan mij om dit ook op te lossen? In hoeveere moet die samenwerking verlopen? Als ik dit in werktijden zou moeten doen en dan worden die uren rechtstreeks aan mij gefactureerd en is $1000 net iets meer dan een dag
App developer works with the hacker to resolve the vulnerability.
Er word hier niet bedoeld dat de hacker de bug op lost, maar dat hij goed uitlegt wat hij gevonden heeft en checked of de fout daadwerkelijk opgelost is.

[Reactie gewijzigd door CTVirus op 20 oktober 2017 11:32]

Ja maar uitleg wordt sowieso vereist bij derrgelijke programma’s. Dat laatste is echter niet mijn verantwoordelijkheid. Als het bedrijf dit niet wil oplossen dan is dat haar verantwoordelijkheid en niet die van mij.
Ik bedoelde dat een programma meestal aan een hacker confirmatie vraagt of de bug daadwerkelijk opgelost is, om te voorkomen dat ze maar een gedeeltelijke fix hebben geimplementeerd.
Voorlopig komen alleen rce-kwetsbaarheden in aanmerking [...]
Dat maakt het direct ook ontzettend gelimiteerd :| gelukkig is het een extraatje bovenop bestaande bounties van ontwikkelaars.

[Reactie gewijzigd door P1nGu1n op 20 oktober 2017 10:39]

For now, the scope of this program is limited to RCE (remote-code-execution) vulnerabilities
Tja als ze met een enorme scope beginnen kunnen ze moeilijke het volume in schatten. Op deze manier kunnen ze het langzaam uitbreiden, hopelijk gaat dat ook gebeuren!
Zo lang er nog zulke grote hoeveelheden RCE bugs zijn is het nauwelijks de moeite waard om actief achter andere vulns heen te gaan.
Een goed initiatief, een bedrijf (zelfs google) heeft meestal niet genoeg mankracht om hier zelf voldoende op te testen. En white-hat hackers kunnen met hun hobby een centje bijverdienen. Kortom, een win-win voor beide partijen.
Hoe is de WPA2-kwetsbaarheid een specifiek probleem van Android? Het is een probleem in het protocol, dus alle apparaten die het correct hebben geimplementeerd, zijn kwetsbaar.
. op verkeerde gereageerd

[Reactie gewijzigd door DutchKevv op 20 oktober 2017 11:30]

De WPA2 hack (Krack) Heeft echt 0.0 met Android te maken.. Volgens mij knoop je nu wat random aan elkaar want het betreft zo goed als alle Wifi verbindingen die bestaan.
Al kennis gemaakt met de maandelijks Security Patches?

Dat is juist bedacht om veiligheid problemen snel en zonder te veel moeite te fixen, en sommige fabrikanten laten het gewoon zien dat dit snel kan, een paar keer waren BlackBerry en Nokia zelfs voor Google bij het release van security patches. Waarom Samsung, Huawei, LG, Lenovo, HTC en anderen altijd achter lopen ook met hun flagships, tja, moet je niet bij Google zijn.
Al kennis gemaakt met de maandelijks Security Patches?
...
Waarom Samsung ... altijd achter lopen ook met hun flagships, tja, moet je niet bij Google zijn.
Samsung brengt gewoon de maandelijkse security patches gewoon uit hoor.
Zijn ze niet bij augustus gebleven met S8/S7?
Ik heb op mijn S8+ de updates van Oktober staan.
Welke software variant als ik vragen mag? Net op een PHN (nederlands unbranded) S8 naar updates gezocht maar blijft op Augustus staan.
Okay, vandaag, tot en met gisteren zaten ze (PHN ) op augustus nog.
Ik heb ook een PHN. Althans, ik zie drie keer PHN/PHN/PHN staan bij de info.
Wpa2 hack is vandaag gepatched in Miui 9 update dus anderen zullen wel volgen. Ik dacht trouwens dat Google dit ging patchen in hun maandelijkse security fixes dan moeten smartphone makers het maar wat sneller toepassen.

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True