Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Google verhoogt maximale bugbountybeloning naar 1,5 miljoen dollar

Google verhoogt het maximale bedrag voor zijn bugbountyprogramma. Hackers kunnen met bepaalde ontdekkingen tot wel 1,5 miljoen dollar verdienen. Het gaat dan om bugs in de Titan M-chip in de Pixel-telefoons. Ook komen er nieuwe categorieën in het programma.

Voor dat maximale bedrag moeten hackers wel een serieuze bug vinden. Het gaat dan specifiek om een kwetsbaarheid waarmee het hele Android-systeem vanaf een afstand kan worden overgenomen, met persistence zodat het lek ook actief blijft, schrijft Google. Dat geldt alleen voor lekken in de Titan M-chip in de Pixel-toestellen. Dat is een fysieke Trusted Execution Environment-chip waarop gevoelige data zoals wachtwoorden, maar ook de bootloader en diskversleuteling op staan. Eerder kregen hackers 200.000 dollar als zij een kwetsbaarheid konden vinden in deze TEE bij Pixel-telefoons. Nu wordt dat een miljoen dollar, ofwel zo'n 900.000 euro. Daar bovenop kunnen hackers nog eens de helft extra als bonus krijgen als zij die lekken vinden in bepaalde ontwikkelaarspreviews van Android.

Google heeft ook een aantal nieuwe categorieën aan het bugbountyprogramma toegevoegd. Het gaat daarbij onder andere om een beloning voor wie het vergrendelscherm kan omzeilen of informatie uit de telefoon kan weten te lekken. Google verwijst naar de regels van het programma voor een complete lijst met alle lekken waarvoor hackers een beloning kunnen krijgen.

Google zegt in de blogpost ook dat het bedrijf in de afgelopen vier jaar meer dan 1800 bug-meldingen heeft afgehandeld en dat daar meer dan vier miljoen dollar aan is uitgegeven. Anderhalf miljoen daarvan werd in het afgelopen jaar uitgedeeld. De hoogste beloning die het bedrijf uitdeelde was aan een onderzoeker van het Alpha Lab van Qihoo 360. Hij kreeg in totaal 201.337 dollar of 181.923 euro voor een kwetsbaarheid waarmee een aanvaller met één klik een remote code execution kon uitvoeren op een Pixel 3.

Door Tijs Hofmans

Redacteur privacy & security

21-11-2019 • 19:18

16 Linkedin Google+

Reacties (16)

Wijzig sortering
*Veel* te weinig, in aanmerking genomen wat criminele, of statelijke actoren kunnen bieden..
Ik vind het inderdaad ook niet zoveel eerlijk gezegd, zeker als het alleen maar om deze specifieke telefoons gaat. Je hoeft het niet eens aan criminelen te verkopen voor meer geld, er zijn ook genoeg 'grijze' bedrijven die er meer voor bieden waardoor een lek goed óf slecht terecht kan komen.
De bug vinden is één ding, een partij vinden waar je
- mee kan onderhandelen
- de transactie mee kan doen
- je achteraf niet verraad
- discreet is
dát is zowaar een vak apart. Door dit hard van de daken te roepen biedt Google zichzelf aan als partner die alles van A tot Z met je regelt (legaal). Misschien krijgt Google er wel een werknemer bij op deze manier ;)
Ja, je kan er meer mee verdienen maar dat geeft ook meer 'gedoe'.
Die partijen zijn er toch genoeg? Zeg wat je wil over bedrijven als Zerodium maar ze zijn in ieder geval wel legit als het om aankopen gaat. Dat heeft weinig met discretie te maken ook...
Zerodium is in 2015 opgericht. Het hoofdkwartier staat in de VS. In die vier jaar is alles goed gegaan. Er ligt daar een flinke stapel namen die interessant zijn voor de Amerikaanse overheid. Ik ben geen expert op het gebied van de wetgeving daar, maar als er een aanslag plaatsvind daar (cybercrime of niet) en er is een concreet vermoeden dat de dader/handlanger in contact is geweest met Zerodium, dan kan ik me voorstellen dat de namen daar wel naar buiten komen - of in ieder geval bij de aanklagers van de VS. Als men het zo draait, dan zou het zo zijn dat Zerodium terrorisme financiert. Klinkt vergezocht, eens - tot het gebeurd.
Als ik zo’n handeltje had / Zirodium was, zou ik er heel goed op letten zorgen dat er geen bewijs voor klantcontact bewaard bleef en zeker niet op Amerikaanse bodem.

Reken maar dat Zerodium hier heel goed over nagedacht heeft. Daarbij zijn ze vooral en eerst zélf de pisang als hun klant foute grappen uithaalt, niet degene van wie ze de ‘truc’ gekocht hebben.

Overigens lijkt mij het redelijk eenvoudig om dit anoniem te houden als verkopende hacker. Een rekening onder nummer in plaats van op naam en je bent al een heel eind.
Hoe gaan ze je dan betalen? Ik neem aan dat zo'n bedrijf ook verplicht is om een administratie bij te houden ;-)
In Zirodium's administratie staat keurig een naam en bankrekeningnummer. Alleen blijkt bij onderzoek door Justitie dat het geen bestaand persoon is.. De bank blijkt te zitten in een land waar de VS geen verdrag mee heeft om informatie uit te wisselen en kent bankgeheim.

Maar zelfs als ze je naam te weten komen, ben je natuurlijk nog niet altijd verantwoordelijk te houden voor wat iemand anders met zo'n 'recept' van jou. Wapenfabrikanten worden ook niet aangeklaagd voor wat er met hun wapens gebeurt.
Vaak maak je gewoon een tool die het misbruikt en die is wel heel gemakelijk te verkopen, want die kan iets dat anderen niet kunnen
Uh, nee.

There is no loyalty among thieves - als die andere partij(en) betrapt wordt of onderzocht door een andere overheid, dan zullen ze (als het hen uitkomt) je naam zo maar opgeven. Niet alleen dat, maar ook het bankrekeningnummer waar ze het geld naar hebben overgemaakt.
Als het op een of andere manier uitkomt dat je dergelijke software hebt 'verkocht', dan zal niemand ooit nog met je willen werken. Verhalen dat je daarna als white hat aan de slag kunt komen uit films, niet de realiteit.

En mocht je als koper met dit bedrijf (of een vergelijkbare tent) in zee gaan, dan kan het geen kwaad om de komende jaren ogen in je achterhoofd te kweken omdat je dan gewild bent voor je kennis. Of omdat men geen loose ends wil ;) Neuh, ik zou het lekker braaf melden bij Google en niet de Israelische geheime dienst tegen mij in het harnas jagen door een dergelijk lek te verkopen aan Iran of zo :P.
Slim om de maximum te vrhogen, dan zetten alle bughunters google bug discoveries vooraan in hun lijst
Geen idee waarom iemand je -1 geeft.

Helaas staat er in de aangenomen sleepwet dat de Nederlandse politie zero day leaks mag gebruiken om te hacken. Die vinden ze waarschijnlijk niet zelf dus huren ze bedrijven in die dat soort lekken kopen. Ons belastinggeld gaat dus direct naar hackers die hun kwetsbaarheden niet melden maar verkopen. Zo maken we de wereld met z'n allen onveiliger voor iedereen. Kees Verhoeven van D66 gaf aan dat hij het een slechte wet vond, maar ging er toch mee akkoord. Verder waren alleen Groen Links en de piratenpartij hiertegen.

[Reactie gewijzigd door Leejjon op 21 november 2019 19:49]

Partij Voor De Dieren was ook tegen.
Ik denk dat dit de juiste wijze is om hackers je software te laten testen. Zeker voor bedrijven als Google is dit peanuts vergeleken met de miljoenen die zij besparen door het vinden van kwetsbaarheden.
Hoe zou de beloningen zijn voor het Analyseren van Google Stadia :+

Op dit item kan niet meer gereageerd worden.


Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Smartphones

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True