PlayStation hacker TheFloW se vydal na LinkedIn, aby potvrdil, že obdržel dalších 10 000 $ z programu PlayStation Bounty od HackerOne. To naznačuje, že výzkumník již oznámil vážnou zranitelnost společnosti Sony. Zda a kdy bude odhalen, se teprve uvidí.
Zneužití příchozího jádra PS5?
PS4 a PS5 jsou již nějakou dobu „zaseknuté“ útěky z vězení, které jsou k dispozici pouze na poměrně starém firmwaru. I když je to nyní na konzolích PlayStation standardem (a proto rada koupit konzoli brzy a od prvního dne ji udržovat na nízkém stabilním systému zůstává tou nejzdravější radou, kterou lze na scéně PlayStation dát), mnoho uživatelů to frustrovalo. Pochopitelně.
V září však TheFloW rozsvítil scénu jednoduchým prohlášením „neaktualizovat“. Vetřelec (A/N) nenápadně naznačoval, že má v zásobě něco velkého.
Nebylo moc pochyb o tom, že se jednalo o využití jádra pro PS5 nebo PS4 (nebo oba), ale jeho příspěvek tento týden na LinkedIn je dalším potvrzením. E-mail, který obdržel od bezpečnostního týmu PlayStation, říká:
Moc děkujeme za zprávu!
Zopakovali jsme vaše zjištění a rozhodli jsme se ohodnotit riziko této zprávy jako vysoké a udělit vám odměnu 10 000 USD.
Opět nic nenasvědčuje tomu, že by nějaká série těchto exploitů byla odhalena, ale v minulosti TheFloW velmi důsledně zveřejňovalo své exploity se souhlasem Sony.
Je však zajímavé vidět, že se hacker rozhodl inzerovat na LinkedIn místo Twitteru, snad aby se vyhnul armádě odpovědí „ETAWEN“…
Je HackerOne požehnáním nebo prokletím pro scénu PS4/PS5?
Lidé na Twitteru řekli, že HackerOne poškozuje scénu, zejména proto, že jsme vydáni na milost bezpečnostnímu týmu Sony, abychom rozhodli, zda zneužití zveřejníme nebo ne. Osobně si myslím, že tato situace prospívá jak scéně, tak profesionálním hackerům. Jakkoli tomu někteří lidé chtějí věřit, neexistuje způsob, jak by scéna mohla získat dostatek peněz kolektivně nepřetržitě Zaplaťte odměnu 10 000 dolarů za útěk z vězení. Za mých téměř 20 let zkušeností v této oblasti jsem viděl nespočet pokusů získat peníze na financování úsilí bezpečnostních výzkumníků: získat více než 1 000 dolarů za velmi slibného potenciálního zákazníka je výjimkou, nikoli pravidlem. 10 000 dolarů by byl obrovský podnik, nemluvě o jeho zákonnosti.
Je pravda, že pirátská scéna PlayStation je mnohem méně živá, než tomu bylo v dobách PSP/PS3, ale podle mého názoru je to hlavně proto, že:
- Zabezpečení nových zařízení se výrazně zlepšilo, což znamená, že pro zájemce o opravu existuje mnohem vyšší bariéra vstupu
- Stále více hardwarových (např. telefonních) služeb (např. Epic, GOG,…) a vznik free-to-play modelu umožňuje lidem v dnešní době hrát spoustu her prakticky za nic, což znamená (IMO) přitažlivost hraní emulátorů nebo her Pirated (šokující, já vím) na konzolích rychle mizí
- PS4 a PS5 jsou velmi podobné hardwaru a architektuře běžného PC. Někteří hackeři jako FailOverfl0w poznamenali, že to ovlivnilo jejich motivaci pracovat na konzolích.
Podle mého názoru je HackerOne požehnáním, protože si myslím, že udržuje zájem některých hackerů, jako je TheFloW, už jen proto, že poskytuje určitou „profesionální důvěryhodnost“ hackerským snahám pro lidi, kteří jsou již profesionály v oboru.
Co bude dál s útěkem z vězení PS5/PS4?
V tuto chvíli jediné, co můžeme udělat, je zůstat na místě. Neaktualizujte svůj PS5, varoval hacker v září. Pokud má vaše PS5 v tuto chvíli firmware vyšší než 8.xx (a pokud jste jej nedostali letos k Vánocům), budete si za to sami, pokud propásnete vše, co přijde příště. Co se týče PS4, jsem v tuto chvíli stále přesvědčen, že nejjednodušší je koupit jen ojetou za 9,00.
„Obhájce Twitteru. Zombie fanatik. Hudební fanoušek. Milovník cestování. Webový expert. Pivní guru. Kávový fanatik.“