Bedrijf looft 3 miljoen dollar uit voor Android- en iPhone-hack
Een nieuwe startup heeft 3 miljoen dollar uitgeloofd voor zeroday-lekken waardoor het mogelijk is om Androidtelefoons en iPhones op afstand mee over te nemen en volledige controle over het toestel te behouden. Crowdfense, zoals het bedrijf heeft, zegt dat het 10 miljoen dollar ter beschikking heeft.
Het geld is onderdeel van een nieuw beloningsprogramma dat onderzoekers voor het melden van onbekende kwetsbaarheden in Android, iOS en Windows beloont. De hoogste beloningen zijn voor kwetsbaarheden in Android en iOS. Het gaat om beveiligingslekken waardoor een aanvaller zonder interactie van de gebruiker op afstand code op het systeem kan uitvoeren en vervolgens ook zijn controle over het systeem behoudt. Dergelijke exploits leveren 3 miljoen dollar op.
Voor een kwetsbaarheid in Safari waardoor een iPhone via één click van de gebruiker kan worden overgenomen betaalt het bedrijf 2,5 miljoen dollar. In het geval van Google Chrome op Android wordt een dergelijke exploit met 2 miljoen dollar beloond. Een aanval via Chrome op Windows waardoor een aanvaller willekeurige code op het systeem kan uitvoeren levert 1,5 miljoen dollar op. Dat is meer dan de 500.000 dollar voor een exploit in Safari waardoor macOS kan worden overgenomen.
Crowdfense zegt dat het informatie over aangekochte zeroday-lekken alleen met "gecontroleerde geïnstitutionaliseerde entiteiten" deelt. Het bedrijf is niet de enige die zeroday-lekken aankoopt. Zo is er het bedrijf Zerodium, dat voor een iPhone-hack 1,5 miljoen dollar betaalt.
NK meldt zich als klant aan als NK?
quote Arnoud Engelfriet's juridische vraag van deze week
Deze bedrijven zijn d'r niet om de gevonden zwakheden/zero-days lekken door te spelen naar de fabrikant
zodat zij daarvoor patches kunnen maken.
Maar ze zijn d'r wel om deze 'foute-toegangsmogelijkheden' door te verkopen om zodoende flinke winst te maken.
Waarom is dit niet illegaal?
Het heeft natuurlijk z'n voordeel dat zero-days gevonden worden, echter, zou een producent het gevonden lek willen patchen, dan moeten ze eerst een aanzienlijk bedrag overmaken naar dit soort parasieten om te weten te komen wat het lek betreft. Dan nog, is er de grote kans dat zo'n parasiet de koopakte van zo'n zero-day met juridische clausules inpakt om geheimhouding te behouden en/of überhaupt deze lekken niet verkoopt aan de fabrikant om zodoende patching te voorkomen.
Mogen dit soort praktijken omdat ze de zero-days niet (gratis) publiekelijk maken?
Alhoewel, google publiceert ook lekken na 90 dagen , ook als de producent geen patch heeft uitgebracht.
ter vergelijking,
Als je het vanddaag-de-dag in je hoofd haalt om op internet uitleg te geven hoe een popcorn omgeving op te zetten, krijg je direct last met allerlei copyright instanties.
of
Als ik inventariseer hoe je bij alle auto's de deur kan openen en wegrijden en dit publiekelijk maak via internet, denk ik dat deze inbreek-informatie er niet lang op zou blijven staan.
Hoe kan hier wettelijk op worden gereageert, of willen overheden hier niets aan doen omdat zij de grootste afnemers zijn!?
Als je een gecontroleerde geïnstutionaliseerde entitteit bent - zoals recherche, forensisch lab, of een inlichtendienst - dan kun je wel degelijk het wettelijk recht hebben om in bepaalde gevallen in te breken.
De uitzonderingen wanneer en door wie het toch mag staan overigens ook in het wet, dus feitelijk wordt de wet niet overtreden.
(Net zoals telefoons aftappen, of brieven te openen, of een huis binnentreden - allemaal zaken die wettelijk verboden zijn behalve met toestemming van de OvJ/RC etc )
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.