باحث أمني يكتشف ثغرة في الـ Android Market، يبلغ عنها و يندم لعدم الاستفادة منها في مسابقة Pwn2Own

نُشر يوم 8 مارس 2011 بواسطة يوغرطة بن علي (Youghourta Benali)

باحث أمني يكتشف ثغرة في الـ Android Market، يبلغ عنها و يندم لعدم الاستفادة منها في مسابقة Pwn2Own

أن تكتشف ثغرة أمنية فهو أمر جميل، لكن الأجمل هو أن لا تضيع أي فرص (قانونية) للاستفادة منها ماديا. هذا هو الدرس الذي سيحفظه Jon Oberheide و لن ينساه لبقية حياته، حيث أنه اكتشف ثغرة في الـ Android Market و بدل استخدامها في مسابقة Pwn2Own قام بالتبليغ عنها مباشرة بالرغم من مشاركته في المسابقة.

و سبب ذلك هو ظن Oberheide أن استغلال هذه الثغرة مخالف لقوانين المسابقة، إلا أنه تبين له عكس ذلك بعد فوات الأوان و ذلك بعد أن قام بإبلاغ Google عنها و قامت بترقيع الثغرة.

و يقوم مبدأ ثغرة XSS التي اكتشفها Oberheide على تنصيب تطبيق على أجهزة الضحايا بعد النقر على أحد الروابط، و هو ما يجعل أجهزتهم تحت رحمة مستغلي الثغرة و تمكنهم من التحكم بها عن بعد.

بالرغم من تضييع Oberheide  للجائزة المالية المقدرة بـ 15 ألفا دولار و بالجهاز الذي طبق عليه استغلال الثغرة، إلا أنه لم يعد بخفي حنين، حيث أنه حصل على الجائزة المالية المقدرة بـ 1377 1337دولار التي تمنحها Google لمكتشفي ثغرات خدماتها.