Cum sa pierzi 15.000 $ raportand o vulnerabilitate companiei Google?

Un cercetător american a pierdut 15.000 de dolari deoarece a raportat un bug software mult prea devreme companiei Google. Jon Oberheide, CTO (Chief Technology Officer) la compania de soluţii de securitate DUO Security, a pierdut cei 15000 de dolari deoarece a raportat companiei Google o vulnerabilitate înaintea concursului de hacking Pwn2Own ce s-a desfăşurat săptămâna aceasta în
Vancouver.

Este cunoscut faptul că, Google plăteşte o sumă destul de consistentă celor ce descoperă vulnerabilităţi. Astfel, cercetătorul american a primit de la Google 1337 dolari în loc să câştige 15.000 la concursul Pwn2Own.

Pwn2Own este un concurs de tipul câştigătorul ia tot, iar Jon Oberheide avea o vulnerabilitate testată deja (la secţiunea telefoane mobile) astfel încât ar fi câştigat cu siguranţă premiul cel mare. Subiectele acestei secţiuni au fost 4 telefoane mobile:

• Dell Venue Pro rulând Windows 7
• iPhone 4 rulând iOS
• Blackberry Torch 9800 rulând Blackberry 6 OS
• Nexus S rulând Android

Jon Oberheide descoperise şi raportase la Google o vulnerabilitate de tip cross-site scripting pe site-ul Google Android Market, vulnerabilitate ce permitea atacatorilor să forţeze telefoanele cu sistem de operare Android să descărcarce şi să instaleze software maliţios.

Vulnerabilitatea consta în faptul că utilizatorii puteau să navigheze pe e-mart şi în acelaşi timp să poată instala aplicaţii în background. Acest lucru permitea atacatorilor să declanşeze instalarea unei aplicaţii malware printr-un singur click al utilizatorului pe un link din acest site. Google a remediat problema înanitea concursului Pwn2Own, astfel încât Jon Oberheide a rămas doar cu cei 1.337 dolari şi mândria de a fi descoperit o vulnerabilitate Android recompensată de Google.

Daca acest articol contine o greseala, selecteaza cuvintele sau fraza gresita si tasteaza combinatia de taste Shift + Enter sau apasa click aici pentru a o raporta. Multumim!