Een beveiligingsonderzoeker die een ernstig lek in de Android Marktplaats had gevonden, heeft zelf 11.000 euro weggegooid door de kwetsbaarheid aan Google te verklappen. Jon Oberheide had met zijn cross-site scripting-lek aan de Pwn2Own-hack mee willen doen, maar dacht dat het probleem niet aan de wedstrijdregels voldeed. Daarop besloot hij Google te informeren, die hem via het beloningsprogramma voor onderzoekers met 1.337 dollar beloonde.

Nu blijkt dat Oberheide toch aan de wedstrijd mee had mogen doen, wat hem 11.000 euro en een Android telefoon had kunnen opleveren. "Ik ben teleurgesteld, omdat ik dacht dat het erg grappig zou zijn om Pwn2Own met een XSS-lek te winnen", aldus de onderzoeker. De kwetsbaarheid zorgde ervoor dat het XSS-lek willekeurige code op de telefoon kon installeren als de gebruiker op zijn Gmail-account was ingelogd en via de browser een kwaadaardige link opende.

"Het surfen op de Android Marktplaats via je browser op je desktop en het sturen van applicaties naar je toestel is fantastisch voor de gebruikerservaring, maar het opent een gevaarlijke aanvalsvector. Elk willekeurige XSS-lek in de Marktplaats laat een aanvaller je browser een POST request maken dat voor de installatie van een app op je telefoon zorgt," laat Oberheide weten. Inmiddels is het lek door Google gepatcht.