PokeAcer meldete Exploits an Nintendo

UPDATE, 06.08.2017, 13:51 Uhr: Die Lücke in Flipnote Studio 3D wurde nicht gemeldet, der Rest des Posts stimmt aber.

PokeAcer (bekannt von RiiConnect24) hat in insgesamt zwei Fällen Exploits an Nintendo über die Bug-Bounty-Plattform HackerOne gemeldet und das Geld für sich eingestrichen – darunter auch ein Exploit für Flipnote Studio für den DSi.

Astronautlevel erklärt auf GBATemp den Sachverhalt: So wurde in einem Flipnote-bezogenem Discord der ugopwn-Exploit gepostet – dabei handelt es sich um einen Exploit für die DSi-Version von Flipnote Studio. Der SHA256-Hash ist identisch mit der ZIP aus einem privaten Discord-Server und es war klar, wer dafür verantwortlich war – Ryanrocks hatte diese Dateien auf seinem Twitter-Profil gepostet. Er wurde angehalten, die Dateien zu entfernen, was er auch tat – doch kurze Zeit später wurde ein Thread auf GBATemp mit diesen Dateien erstellt und mit DMCA-Requests versucht, den Thread vom Netz zu bekommen.

Zuerst war unklar, wer diese Dateien geleaked hatte – nur rund zehn User hatten Zugriff auf den Exploit. Nach einiger Zeit ist man darauf gekommen, dass es jemand gewesen sein muss, der auch in diesem Thread gepostet hat – und so kam man auf PokeAcer. Er gab schlussendlich zu, sich auf HackerOne als Ryanrocks ausgegeben und den Exploit an Nintendo gemeldet zu haben. Um an den Exploit zu kommen, hat er den Session-Token eines Bots aus dem Discord-Kanal gestohlen.

Außerdem gab er an, die Lücke in Flipnote Studio 3D an Nintendo gemeldet zu haben – wir empfehlen deshalb jedem auf 11.4+ ohne Zugriff auf den Homebrew Launcher sich Flipnote Studio 3D herunterzuladen, bevor die Lücke gepatcht wird! Per My Nintendo kommt man quasi kostenlos an die Anwendung.

Spulen wir zurück zum 11.4-Update – der Internetbrowser wurde aktualisiert. Es stellte sich heraus, dass man mit den Entwicklertools des New3DS-Browsers die Update-Meldung im Browser umgehen kann – diese Lücke wurde von Ihaveamac gefunden und von Nintendo mit 11.4 gefixt. Diese wurde eigentlich geheimgehalten, da es noch keinen Browserhax gibt. Ihaveamac erzählte PokeAcer davon im Vertrauen – dieser jedoch wandte sich an Nintendo über HackerOne und strich das Geld ein. Kurz danach veröffentlichte er einen Blogpost, bei dem er diese Aktion zugab und versprach, es nie wieder zu tun (was er aber wieder getan hat und das zwei Mal!).

Zudem hat er Notizen von anderen auf dem Project-Kaeru-Server (ein Custom-Server für Flipnote Studio 3D) gelesen und gestohlen.

Entsprechende Beweise finden sich im GBATemp-Blogpost von Astronautlevel.