Max Home IndustryGoogle объявила о новом вознаграждении за ошибку в размере 1 миллиона долларов за эксплойт удаленного выполнения полной цепочки кода с постоянством, который ставит под угрозу безопасный элемент Titan M на устройствах Pixel. Эта сумма может быть увеличена до 1,5 миллиона долларов за эксплойты, обнаруженные в определенных предварительных версиях Android для разработчиков.
Если вы хотите, чтобы эксплойт объяснялся без жаргона безопасности — Google готов заплатить, если хакер получит удаленный доступ к операционной системе Pixel таким образом, который не требует какого-либо взаимодействия с пользователем телефона.
Объясняя решение Google предложить такое большое вознаграждение, Джессика Лин из группы безопасности Android отмечает, что ранее в этом году Gartner оценил Pixel 3 с Titan M как самый «сильный» среди всех устройств во встроенном разделе безопасности. оценил, отметив:
Вот почему мы учредили специальный приз для поощрения исследователей за обнаруженные уязвимости, позволяющие обойти защиту защищенных элементов.
Две другие категории эксплойтов были добавлены в программу вознаграждений, которая была впервые представлена в 2015 году, см. «Новая схема вознаграждений за ошибки Android». За кражу ценных данных, защищенных Pixel Titan M, можно получить вознаграждение в размере до 500 000 долларов США, а за ценные данные, защищенные с помощью Secure Element, предлагается до 250 000 долларов США. До 100000 долларов можно получить за эксплойты обхода заблокированного экрана, достигаемые с помощью программного обеспечения, которое может повлиять на несколько или все устройства. Эти суммы не учитывают 50% бонуса за эксплойты, выявленные на этапе предварительного просмотра для разработчиков.
В том же сообщении в блоге Линь сообщил, что программа вознаграждений Android выплатила в общей сложности более 1,5 миллиона долларов на исследования в области безопасности за последние 12 месяцев и что:
Более 100 участвующих исследователей получили в среднем более 3800 долларов за открытие (на 46% больше, чем в прошлом году). В среднем это означает, что [Google] выплатил более 15 000 долларов США (на 20% больше, чем в прошлом году) на одного исследователя!
Она также сообщила, что самая крупная разовая награда в 2019 году составила 161337 долларов. Это было для отчета Гуан Гун из Alpha Lab, Qihoo 360 Technology Co. Ltd., в котором подробно описана первая известная цепочка эксплойтов для удаленного выполнения кода в один клик на устройстве Pixel 3. Вдобавок Гуан Гун получил 40 000 долларов по программе Chrome Rewards. Комбинированное вознаграждение в размере 201 337 долларов было высшим вознаграждением за одну цепочку эксплойтов во всех программах Google VRP (Vulnerability Report Program).