Gone in 60 seconds
Het doel van de hackerswedstrijd Pwnfest was het hacken van verschillende softwaretoepassingen en besturingssystemen. Bij Android was de Google Pixel het doelwit, maar ook iOS, Safari en Google Chrome waren aan de beurt.
De hack van het onderzoeksteam duurt slechts 60 seconden, waarna code op de Pixel uitgevoerd kan worden. Bij de demonstratie van het lek liet het team zien dat na een minuutje de tekst ‘Pwned By 360 Alpha Team’ op het scherm van een gloednieuwe Google Pixel te zien was. Overigens betekent dat niet dat de hack binnen een minuutje bedacht was: er werd waarschijnlijk gebruik gemaakt van een reeks aan beveiligingsfouten die uiteindelijk tot leidden tot volledige toegang.
In totaal heeft het team van Qihoo 360 een aardig zakcentje binnengehaald: het team verdiende maar liefst 520.000 dollar (ongeveer 479.000 euro) met onder andere het hacken van Adobe Flash. Google probeert hackers aan te sporen om lekken te melden bij het bedrijf en geeft daar ook relatief hoge beloningen voor. Ook schrijft het bedrijf zelf hackwedstrijden uit.
Beveiligingsupdates
Google brengt maandelijks beveiligingsupdates uit voor Nexus-toestellen en voor de Pixel en Pixel XL. Informatie over de lekken en beveiligingsproblemen worden ook gedeeld met partners, die zelf beveiligingsupdates voor hun toestellen uit kunnen brengen.
Qihoo 360 deelt regelmatig beveiligingslekken met Google en dat was ook bij de beveiligingsupdates van november het geval. Het lijkt er op dat de fouten die er voor hebben gezorgd dat de onderzoekers code uit konden voeren op de Google Pixel, opgelost zijn in de november-updates. Google bedankt het team voor een flinke rij aan beveiligingsmeldingen.
Bron: The Register
Reacties
Inloggen of registreren
om een reactie achter te laten
Kijk, dat is nu hoe het moet. Mooi van Google! Nu er nog voor zorgen dat alle fabrikanten verplicht worden om de beveiligingsupdates maandelijks naar al hun toestellen te sturen.