Quantcast
m

Android-buggar mer lönsamma än iOS-buggar för buggletare
Första gången det händer

ZDNet rapporterar att företaget Zerodium har uppdaterat prislistan för vad man betalar för olika typer av buggar och säkerhetshål som privata utvecklare och buggletare hittar i operativsystem till mobiltelefoner. För första gången någonsin så betalar nu företaget mer för buggar och säkerhetsluckor till Android än vad man gör för motsvarande okända säkerhetsluckor i iOS. Skulle man hitta en bugg som ger en obehörig tillgång till en Android-telefon utan att ha fysisk tillgång till den aktuella telefonen så betalar Zerodium upp till 2,5 miljoner dollar för det. Motsvarande belöning för säkerhetsluckor i iOS som gör samma sak ligger nu på upp till 2 miljon dollar. Det kan nämnas att Apple själva betalar upp till 1 miljon dollar för de okända säkerhetsluckor som Zerodium säger sig betala upp till 2 miljoner dollar för. Zerodiums är ett företag som säljer vidare information om hur man utnyttjar buggar och säkerhetsluckor på datorer och mobiler till statliga myndigheter eller andra statliga intressen som vill ha tillgång till dessa av en eller annan anledning. Här nedanför hittar ni Zerodiums senaste prislista. Tumnagel
39.3°
+
Wille Wilhelmsson
0

Apple stämmer företag som emulerar iOS
Correliums verktyg används för att hacka iPhones

Apple har nu stämt företaget Correlium då man anser att företagets program som emulerar Apples mobila operativsystem iOS gör intrång på Apples upphovsrätt när man säljer sin iOS-emulator till utvecklare, hackers och andra. Correlium gör det möjligt att emulera iOS på en dator för dem som utvecklar appar till iOS eller är intresserade av att hitta säkerhetsluckor i operativsystemet. Apple har själv uppmanat användare att hitta buggar i iOS och kan belöna buggletare med upp till en miljon dollar om de hittar allvarliga säkerhetsbrister i iOS. Enligt Apple så uppmanar dock Corellium sina användare att sälja information om eventuella säkerhetsluckor i iOS till den som betalar mest. I sin stämning skriver Apple bland annat: "Although Corellium paints itself as providing a research tool for those trying to discover security vulnerabilities and other flaws in Applex27s software, Corelliumx27s true goal is profiting off its blatant infringement. Far from assisting in fixing vulnerabilities, Corellium encourages its users to sell any discovered information on the open market to the highest bidder." Apple vill att domstolen beslutar att Correlium måste informera sina kunder om att de gör intrång på Apples immaterialrättigheter, att man förstör alla produkter som Apple anser gör intrång på deras rättigheter samt ett ospecificerat skadestånd. Här nedanför hittas en ett år gammal introduktionsfilm till Corellium. Tumnagel
35.3°
+
Wille Wilhelmsson
0

Apple pröjsar 1 miljon dollar till den som kan hacka iPhone
Höjer ersättningarna i sitt buggletarprogram

Under den pågående säkerhetskonferensen Black Hat så meddelade Apple att man nu höjer belöningen för de som kan hitta olika typer av buggar i företagets kronjuvel iPhone. Den högsta belöningen får buggletare som kan hitta säkerhetsluckor som låter obehöriga komma in i iPhones kernel. Denna belöning höjs nu med 200.000 dollar till hela en miljon dollar. Förutom det så meddelade Apple att även de som hittade andra typer av buggar och säkerhetsluckor på iPhone och Mac skulle kunna räkna med högre belöningar framöver. För att underlätta för säkerhetsforskare och andra som letar säkerhetsluckor och buggar i iOS så uppgav Apple även att man skulle börja dela ut rootade iPhones till en del utvecklare under nästa år. Med dessa telefoner kommer det antagligen att bli enklare att upptäcka vissa säkerhetsproblem på iPhone. Tumnagel
52.4°
+
Wille Wilhelmsson
0

Google hittade sex buggar i Apples iMessage
Fem av dem ska vara fixade nu

Googles buggletar-team Project Zero ska ha hittat sex stycken buggar i Apples meddelande-app iMessage varav fem av dem ska ha fixats i iOS 12.4 som släpptes förra veckan. Den sjätte buggen som Google hittade ska dock inte vara fixad enligt Project Zero och de drar därför tillbaka dokumentationen där man beskriver den specifika buggen i iMessage och hur dessa skulle kunna utnyttjas. Seriösa säkerhetsforskare publicerar oftast aldrig information om säkerhetshål innan man gett utvecklarna bakom produkten en angiven tidsperiod att fixa buggarna, något som Apple alltså inte verkar ha gjort för alla buggar/säkerhetshål ännu. Varför Apple inte har fixat alla buggarna i iMessage är oklart och inte heller något som Apple har kommenterat än så länge. Skulle någon utnyttja buggen som än så länge inte fixats så skulle en obehörig kunna köra program (exekvera kod) genom att skicka ett särskilt utformat textmeddelande som aktiverar exekveringen när mottagaren öppna meddelandet. Har ni inte installerat iOS 12.4 ännu så är det läge att göra det nu. Tumnagel
36.5°
+
Wille Wilhelmsson
0

Nu blir det ännu lönsammare att leta efter Microsoft-buggar
Hackers med vita hattar kan tjäna mer pengar på buggletande

Microsoft är ett av flera stora techföretag som betalar externa buggletare tusentals dollar om de hittar buggar i Microsofts programvaror och nu höjer Microsoft ersättningen för en del typer av buggar som hittas i deras program. I ett inlägg på TechNet skriver Microsoft att maxbelöningen för buggar som hittas i Windows Insider Preview kommer att höjas från 15.000 dollar till 50.000 dollar och dessutom höjs även ersättningen för Microsoft Cloud Bounty från 15.000 dollar till 20.000 dollar. Microsoft skriver även att man ska bli snabbare på att betala ut ersättningen till de som hittar buggar i deras program och har därför inlett samarbeten med diverse tjänster som ska säkerställa detta. Tumnagel
44.6°
+
Wille Wilhelmsson
0
2016

Apple startar buggjägarprogram
Hitta bugg, få 200 000 dollar

Flertalet techföretag har så kallade buggjägarprogram där folk som hittar buggar kan meddela detta till företagen och få pengar för det. Apple har aldrig tidigare haft ett sådant program, men det verkar ha ändrats nu. Under konferensen Black Hat i Las Vegas meddelade Ivan Krstic, Apples chef för Security Engineering and Architecture, att företaget nu delar ut prispengar på upp till 200 000 dollar till folk som hittar buggar i Apples olika produkter. Detta är en av de högsta summorna som techföretag erbjuder för buggletare, men för att komma upp till 200 000 dollar behöver du hitta rätt omfattande säkerhetshål i boot-mjukvaran som kan ställa till bekymmer. Apple delar även ut prispengar till folk som hittar mindre säkerhetshål som kan ge olovliga användare tillgång till andra användares iCloud. Tumnagel
47.0°
+
André Stray
0

Nu kan man få ännu mer pengar om man hittar buggar i Android
Google utökar Androids buggletarprogram

Det har nu gått ett år sedan Google drog igång sitt buggletarprogram för Android där man erbjöd androidanvändare pengar om de hittade buggar i det mobila operativsystemet. Nu meddelar Google att man planerar att betala ut ännu mer pengar till de som hittar buggar och i ett blogginlägg skriver man: We’re paying more! * We will now pay 33% more for a high-quality vulnerability report with proof of concept. For example, the reward for a Critical vulnerability report with a proof of concept increased from $3000 to $4000. * A high quality vulnerability report with a proof of concept, a CTS Test, or a patch will receive an additional 50% more. * We’re raising our rewards for a remote or proximal kernel exploit from $20,000 to $30,000. * A remote exploit chain or exploits leading to TrustZone or Verified Boot compromise increase from $30,000 to $50,000. Google skriver att man under året som gått har betalat ut 550.000 dollar till 82 stycken buggletare. Den som fått mest utbetalt hade hittat 26 buggar och blev för detta belönad med sammanlagt 75.750 dollar och 15 personer har fått över 10.000 dollar utbetalat för sina buggfynd. Tumnagel
48.7°
+
Wille Wilhelmsson
0