Google verhoogt maximale bugbountybeloning naar 1,5 miljoen dollar

Google verhoogt het maximale bedrag voor zijn bugbountyprogramma. Hackers kunnen met bepaalde ontdekkingen tot wel 1,5 miljoen dollar verdienen. Het gaat dan om bugs in de Titan M-chip in de Pixel-telefoons. Ook komen er nieuwe categorieën in het programma.

Voor dat maximale bedrag moeten hackers wel een serieuze bug vinden. Het gaat dan specifiek om een kwetsbaarheid waarmee het hele Android-systeem vanaf een afstand kan worden overgenomen, met persistence zodat het lek ook actief blijft, schrijft Google. Dat geldt alleen voor lekken in de Titan M-chip in de Pixel-toestellen. Dat is een fysieke Trusted Execution Environment-chip waarop gevoelige data zoals wachtwoorden, maar ook de bootloader en diskversleuteling op staan. Eerder kregen hackers 200.000 dollar als zij een kwetsbaarheid konden vinden in deze TEE bij Pixel-telefoons. Nu wordt dat een miljoen dollar, ofwel zo'n 900.000 euro. Daar bovenop kunnen hackers nog eens de helft extra als bonus krijgen als zij die lekken vinden in bepaalde ontwikkelaarspreviews van Android.

Google heeft ook een aantal nieuwe categorieën aan het bugbountyprogramma toegevoegd. Het gaat daarbij onder andere om een beloning voor wie het vergrendelscherm kan omzeilen of informatie uit de telefoon kan weten te lekken. Google verwijst naar de regels van het programma voor een complete lijst met alle lekken waarvoor hackers een beloning kunnen krijgen.

Google zegt in de blogpost ook dat het bedrijf in de afgelopen vier jaar meer dan 1800 bug-meldingen heeft afgehandeld en dat daar meer dan vier miljoen dollar aan is uitgegeven. Anderhalf miljoen daarvan werd in het afgelopen jaar uitgedeeld. De hoogste beloning die het bedrijf uitdeelde was aan een onderzoeker van het Alpha Lab van Qihoo 360. Hij kreeg in totaal 201.337 dollar of 181.923 euro voor een kwetsbaarheid waarmee een aanvaller met één klik een remote code execution kon uitvoeren op een Pixel 3.

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 21-11-2019 19:18 16

21-11-2019 • 19:18

16

Lees meer

Google zegt dat tachtig procent van de Android-apps het dataverkeer versleutelt
Google zegt dat tachtig procent van de Android-apps het dataverkeer versleutelt Nieuws van 4 december 2019
Google gaat betalen voor ontdekken van kwetsbaarheden in apps van derde partijen
Google gaat betalen voor ontdekken van kwetsbaarheden in apps van derde partijen Nieuws van 30 augustus 2019
Gerucht: Apple gaat speciale iPhones aan beveiligingsonderzoekers geven
Gerucht: Apple gaat speciale iPhones aan beveiligingsonderzoekers geven Nieuws van 6 augustus 2019
Facebook introduceert beloningsprogramma voor melden datamisbruik
Facebook introduceert beloningsprogramma voor melden datamisbruik Nieuws van 11 april 2018
Google start bug-bountyprogramma voor Android-apps waaronder Dropbox en Tinder
Google start bug-bountyprogramma voor Android-apps waaronder Dropbox en Tinder Nieuws van 20 oktober 2017
Meer producten en artikelen
Beveiliging en antivirus Google Pixel Bugs Bug tracking

Reacties (16)

-Moderatie-faq
16
15
9
0
0
4
Wijzig sortering
Homer J.Simpson 21 november 2019 19:33
*Veel* te weinig, in aanmerking genomen wat criminele, of statelijke actoren kunnen bieden..
AuteurTijsZonderH Nieuwscoördinator @Homer J.Simpson21 november 2019 19:53
Ik vind het inderdaad ook niet zoveel eerlijk gezegd, zeker als het alleen maar om deze specifieke telefoons gaat. Je hoeft het niet eens aan criminelen te verkopen voor meer geld, er zijn ook genoeg 'grijze' bedrijven die er meer voor bieden waardoor een lek goed óf slecht terecht kan komen.
5pë©ïàál_Tèkén @TijsZonderH21 november 2019 20:24
De bug vinden is één ding, een partij vinden waar je
- mee kan onderhandelen
- de transactie mee kan doen
- je achteraf niet verraad
- discreet is
dát is zowaar een vak apart. Door dit hard van de daken te roepen biedt Google zichzelf aan als partner die alles van A tot Z met je regelt (legaal). Misschien krijgt Google er wel een werknemer bij op deze manier ;)
Ja, je kan er meer mee verdienen maar dat geeft ook meer 'gedoe'.
AuteurTijsZonderH Nieuwscoördinator @5pë©ïàál_Tèkén21 november 2019 20:27
Die partijen zijn er toch genoeg? Zeg wat je wil over bedrijven als Zerodium maar ze zijn in ieder geval wel legit als het om aankopen gaat. Dat heeft weinig met discretie te maken ook...
5pë©ïàál_Tèkén @TijsZonderH21 november 2019 20:36
Zerodium is in 2015 opgericht. Het hoofdkwartier staat in de VS. In die vier jaar is alles goed gegaan. Er ligt daar een flinke stapel namen die interessant zijn voor de Amerikaanse overheid. Ik ben geen expert op het gebied van de wetgeving daar, maar als er een aanslag plaatsvind daar (cybercrime of niet) en er is een concreet vermoeden dat de dader/handlanger in contact is geweest met Zerodium, dan kan ik me voorstellen dat de namen daar wel naar buiten komen - of in ieder geval bij de aanklagers van de VS. Als men het zo draait, dan zou het zo zijn dat Zerodium terrorisme financiert. Klinkt vergezocht, eens - tot het gebeurd.
laptopleon @5pë©ïàál_Tèkén21 november 2019 22:12
Als ik zo’n handeltje had / Zirodium was, zou ik er heel goed op letten zorgen dat er geen bewijs voor klantcontact bewaard bleef en zeker niet op Amerikaanse bodem.

Reken maar dat Zerodium hier heel goed over nagedacht heeft. Daarbij zijn ze vooral en eerst zélf de pisang als hun klant foute grappen uithaalt, niet degene van wie ze de ‘truc’ gekocht hebben.

Overigens lijkt mij het redelijk eenvoudig om dit anoniem te houden als verkopende hacker. Een rekening onder nummer in plaats van op naam en je bent al een heel eind.
Jay-v @laptopleon21 november 2019 22:41
Hoe gaan ze je dan betalen? Ik neem aan dat zo'n bedrijf ook verplicht is om een administratie bij te houden ;-)
laptopleon @Jay-v22 november 2019 10:02
In Zirodium's administratie staat keurig een naam en bankrekeningnummer. Alleen blijkt bij onderzoek door Justitie dat het geen bestaand persoon is.. De bank blijkt te zitten in een land waar de VS geen verdrag mee heeft om informatie uit te wisselen en kent bankgeheim.

Maar zelfs als ze je naam te weten komen, ben je natuurlijk nog niet altijd verantwoordelijk te houden voor wat iemand anders met zo'n 'recept' van jou. Wapenfabrikanten worden ook niet aangeklaagd voor wat er met hun wapens gebeurt.
sebastienbo @5pë©ïàál_Tèkén21 november 2019 22:35
Vaak maak je gewoon een tool die het misbruikt en die is wel heel gemakelijk te verkopen, want die kan iets dat anderen niet kunnen
5pë©ïàál_Tèkén @Homer J.Simpson21 november 2019 19:41
Uh, nee.

There is no loyalty among thieves - als die andere partij(en) betrapt wordt of onderzocht door een andere overheid, dan zullen ze (als het hen uitkomt) je naam zo maar opgeven. Niet alleen dat, maar ook het bankrekeningnummer waar ze het geld naar hebben overgemaakt.
Als het op een of andere manier uitkomt dat je dergelijke software hebt 'verkocht', dan zal niemand ooit nog met je willen werken. Verhalen dat je daarna als white hat aan de slag kunt komen uit films, niet de realiteit.

En mocht je als koper met dit bedrijf (of een vergelijkbare tent) in zee gaan, dan kan het geen kwaad om de komende jaren ogen in je achterhoofd te kweken omdat je dan gewild bent voor je kennis. Of omdat men geen loose ends wil ;) Neuh, ik zou het lekker braaf melden bij Google en niet de Israelische geheime dienst tegen mij in het harnas jagen door een dergelijk lek te verkopen aan Iran of zo :P.
sebastienbo @5pë©ïàál_Tèkén21 november 2019 22:34
Slim om de maximum te vrhogen, dan zetten alle bughunters google bug discoveries vooraan in hun lijst
Leejjon @Homer J.Simpson21 november 2019 19:48
Geen idee waarom iemand je -1 geeft.

Helaas staat er in de aangenomen sleepwet dat de Nederlandse politie zero day leaks mag gebruiken om te hacken. Die vinden ze waarschijnlijk niet zelf dus huren ze bedrijven in die dat soort lekken kopen. Ons belastinggeld gaat dus direct naar hackers die hun kwetsbaarheden niet melden maar verkopen. Zo maken we de wereld met z'n allen onveiliger voor iedereen. Kees Verhoeven van D66 gaf aan dat hij het een slechte wet vond, maar ging er toch mee akkoord. Verder waren alleen Groen Links en de piratenpartij hiertegen.

[Reactie gewijzigd door Leejjon op 23 juli 2024 05:12]

Marsanghas @Leejjon21 november 2019 20:48
Partij Voor De Dieren was ook tegen.
Macfreak101 21 november 2019 19:20
Ik denk dat dit de juiste wijze is om hackers je software te laten testen. Zeker voor bedrijven als Google is dit peanuts vergeleken met de miljoenen die zij besparen door het vinden van kwetsbaarheden.
Tri Force 21 november 2019 20:10
Hoe zou de beloningen zijn voor het Analyseren van Google Stadia :+

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq