Bedrijf looft 1 miljoen dollar uit voor zerodays in Tor Browser

[Captain Kirk]

Het Amerikaanse bedrijf Zerodium dat zeroday-exploits van hackers en onderzoekers inkoopt heeft in totaal 1 miljoen dollar uitgeloofd voor zeroday-lekken in Tor Browser op Windows en Tails. Het gaat hierbij om kwetsbaarheden waarvoor nog geen update beschikbaar is en het systeem van Tor Browser-gebruikers volledig kan worden overgenomen. Zerodium verkoopt de verkregen zeroday-exploits weer door aan een "beperkt aantal" bedrijven en overheden.

Doordat besturingssystemen over steeds meer beschermingsmaatregelen beschikken wordt het volgens Zerodium lastiger en lastiger om kwetsbaarheden in browsers uit te buiten. "Maar gemotiveerde onderzoekers slagen ondanks de complexiteit van het werk er altijd in om nieuwe browser-exploits te ontwikkelen, dankzij hun vaardigheden en het gebruik van scriptingtalen zoals JavaScript", aldus het bedrijf.

In het geval van Tor Browser zoekt Zerodium naar zeroday-exploits die ook zonder JavaScript werken. Exploits die JavaScript vereisen mogen ook worden ingezonden, maar leveren minder op. Een zeroday-exploit zonder JavaScript waarmee het systeem van een Tor Browser-gebruiker op Windows 10 en het privacy-besturingssysteem Tails volledig kan worden overgenomen levert 250.000 dollar op. In het geval JavaScript is vereist wordt het bedrag gehalveerd.

Als de exploit alleen tegen één van de twee platformen werkt wordt er 200.000 dollar uitgekeerd. Wederom levert een exploit met JavaScript de helft van dit bedrag op. Het Tor Browser-programma van Zerodium loopt tot 30 november, maar kan ook eerder zijn afgelopen als er voor 1 miljoen dollar aan beloningen is uitgekeerd. Onlangs kwam Zerodium ook al in het nieuws omdat het zich op populaire chat-apps zoals Signal, WhatsApp, WeChat, Telegram, Facebook Messenger en Viber richtte.

Dagelijks maken zo'n 2 miljoen mensen gebruik van het Tor-netwerk om hun ip-adres en privacy te beschermen. Het Tor Project, dat voor het Tor-netwerk en Tor Browser verantwoordelijk is, lanceerde eerder dit jaar een beloningsprogramma voor hackers en onderzoekers die kwetsbaarheden in het netwerk en de browser vinden en rapporteren, waarbij er tot 4.000 dollar per bugmelding wordt uitgekeerd.

 

 

bron: security.nl