Когда в 2015 году Google впервые запустила программу поиска уязвимостей в Android, самое большое вознаграждение, которое можно было получить, составляло $38 тыс. Вместе с ростом популярности Android росла и сумма награды, поэтому всё больше исследователей в области безопасности «охотились» за уязвимостями в мобильной системе. На днях поисковый гигант объявил о том, что увеличивает максимальное вознаграждение до $1,5 млн. Разумеется, такая огромная сумма будет выплачиваться не за каждую ошибку.
Речь идёт об особом виде уязвимостей – полную цепочку эксплоитов для удалённого выполнения кода, который ставит под угрозу модуль безопасности Titan M, установленный на смартфонах Pixel. Другими словами, Google ищет эксплойт, который без физического доступа к устройству может выполнять код даже после перезагрузки гаджета и взламывать чип безопасности смартфона. Сообщение о такой уязвимости принесёт исследователям до $1 млн. Если они cмогут продемонстрировать работу эксплойта на определённых предварительных версиях Android для разработчиков, то получат ещё $500 тыс.
Чип Titan M впервые дебютировал со смартфоном Pixel 3. Его работа, заключается в обеспечения безопасности операционной системы. Он контролирует загрузку Android, проверяя все условия и подписи, а также попытки разблокировать загрузчик и установить более старые версии ПО.
$1,5 млн за один эксплойт – огромная сумма. Примерно столько же Google заплатила за все обнаруженные уязвимости за последние 12 месяцев. По словам компании, максимальное вознаграждение в этом году составило $161 337 за цепочку эксплойтов для удалённого выполнения кода на смартфоне Pixel 3. Размер выплат за остальные уязвимости в среднем составил около $3 800.
Источник: Techcrunch