gaming
gaming
Bildquelle: Cash Macanaya, thx!, Lizenz

TheFlow kassiert lieber, statt die PS5-Lücke zu veröffentlichen

Der Jailbreaker TheFlow erhielt von Sony 10.000 US-Dollar für die Einreichung einer zuvor unbekannten Sicherheitslücke der PS5.

Der Hacker TheFloW hat auf LinkedIn bestätigt, dass er vom PlayStation-Bounty-Programm auf HackerOne weitere 10.000 US-Dollar erhalten hat. Dies deutet darauf hin, dass der Programmierer tatsächlich eine kritische Sicherheitslücke der Playstation 5 an Sony gemeldet hat. Ob und wann sie veröffentlicht wird, bleibt leider ungewiss.

PS5-Kernel-Exploit im Anmarsch?

Die PS4 als auch die PS5 sind schon seit geraumer Zeit mit Jailbreaks ausgestattet, die nur für ältere Firmware-Versionen verfügbar sind. Obwohl dies bei PlayStation-Geräten mittlerweile die Regel zu sein scheint, hat dies verständlicherweise viele Nutzer frustriert. Jedes Mal wenn ein Firmware-Update erscheint, kann man den Nutzern immer wieder nur raten, dieses nicht einzuspielen, weil Sony damit oftmals auch zuvor bestehende Sicherheitslücken schließt.

Am 22. September kündigte TheFloW auf X (ehemals Twitter) an, dass er etwas Großes entdeckt hatte und man seine Spielkonsolen nicht aktualisieren sollte. Es bestand kein Zweifel daran, dass es sich um einen weiteren Kernel-Exploit für die PS5 oder PS4 handelte. Vielleicht sind beide Geräte davon betroffen. Diese Woche veröffentlichte Andy Nguyen beim Business-Netzwerk LinkedIn die Bestätigung durch Mitarbeiter von Sonys Bug Bounty Programm.

Man habe seinen eingereichten Bericht bestätigen können und bezahlt ihm in Anbetracht der Schwere des Fehlers 10.000 US-Dollar für seinen Tipp. Auch hierbei hinterließ TheFlow keine Hinweise darauf, dass er plant die Lücke aufzudecken. Doch in der Vergangenheit hat er seine Exploits mit Zustimmung von Sony immer wieder öffentlich gemacht.

TheFlow
Ankündigung von TheFlow bei LinkedIn über die erhaltene Belohnung von Sony.

TheFlow wollte bei X nicht mit Anfragen geflutet werden

Es ist jedoch interessant zu sehen, dass der Hacker beschlossen hat, die Ankündigung auf LinkedIn und nicht auf X (ex-Twitter) zu machen. Wahrscheinlich wollte er sich damit vor ständigen Anfragen aus der Community schützen. Bei X hätte man ihn bedrängt, wann der Bug denn endlich von allen ausgenutzt werden könne.

Bei X meckern manche Nutzer, dass Sonys Bug Bounty Programm namens HackerOne der Jailbreaker-Community schadet. Sony und niemand anderes kann nämlich nach erfolgter Bezahlung darüber bestimmen, ob Lücken geheim bleiben und auch wann sie preisgegeben werden. Doch wer soll eine derart hohe Summe aufbringen, um Programmierer wie TheFlow entsprechend zu entlohnen? Von den juristischen Aspekten einer Belohnung für die Aufdeckung von Sicherheitslücken fremder Hardware einmal ganz abgesehen.

theflow
„Just reported those very cool bugs, so might take a while until disclosure“

Heutzutage ist die Hacking-Szene auch deswegen viel ruhiger, weil die Geräte von vornherein sehr viel sicherer sind. Daneben gibt es auch Spiele, die auf dem Free-To-Play-System beruhen. Deswegen suchen manche Nutzer nicht mehr nach Schwarzkopien. Die PS4 und die PS5 sind der normalen Computerhardware und -architektur inklusive der Grafikkarte recht ähnlich. Einige Hacker wie FailOverfl0w haben angedeutet, dass dies ihre Motivation, an den Konsolen zu arbeiten, beeinträchtigt hat.

Wie geht es mit dem PS4- bzw. PS5-Jailbreak weiter?

TheFlow warnte im September sicher nicht zufällig davor, die Firmware der eigenen PS5 zu aktualisieren. Doch momentan kann man nur abwarten, ob bzw. wann der Bug public sein wird..

Was die PS4 betrifft, so besteht weiterhin die einfachste Methode darin, sich für einen Jailbreak eine gebrauchte PS4 mit der Firmware 9.00 zu kaufen.

Tarnkappe.info

Lars Sobiraj

Über

Lars Sobiraj fing im Jahr 2000 an, als Quereinsteiger für verschiedene Computerzeitschriften tätig zu sein. 2006 kamen neben gulli.com noch zahlreiche andere Online-Magazine dazu. Er ist der Gründer von Tarnkappe.info. Außerdem brachte Ghandy, wie er sich in der Szene nennt, seit 2014 an verschiedenen Hochschulen und Fortbildungseinrichtungen den Teilnehmern bei, wie das Internet funktioniert.