:

Szerző: Hlács Ferenc

2019. november 22. 09:39

Akár 1,5 millió dollárt is kicsenget a Google az androidos bugokért

A legsúlyosabb, Pixel okostelefonokban talált hibákért osztja ki a cég a vaskos jutalmat.

Brutális fejpénzzel licitál korábbi bug bountyjára a Google, a keresőóriás mostantól akár nem kevesebb mint 1,5 millió dollárt is kicsenget a Pixel okostelefonjaban talált legsúlyosabb sérülékenységek bejelentőinek. Korábban az androidos exploitok jutalmai 200 ezer dollárnál tetőztek.

A rekordösszeg két részből tevődik össze, a cég egyrészt egymillió dollárt fizet egy teljes exploitláncért, amely távoli kódfuttatást tesz lehetővé a Pixel eszközökön, a Titan M biztonsági komponens védelmét is kijátszva. Ehhez csap hozzá a cég egy 500 ezer dolláros bónuszt, ha a sérülékenységet a bugvadászok az Android bizonyos előzetes, Developer Preview kiadásaiban találják meg. A vaskos összeg komoly motivációt jelenthet a biztonsági kutatóknak, hogy alaposan górcső alá vegyék a rendszert, a bónusznak hála pedig a Google arra is sarkallja őket, hogy mindezt még a stabil, sok millió készülékre eljutó kiadás megjelenése előtt tegyék.

andrmalwr

A Titan M chipet a cég először 2018-ban, a Pixel 3 modellekben vezette be, azóta pedig a Pixel 3a, illetve a Pixel 4 készülékekben is ott van. Ez felel többek között a zárképernyő feloldókódjának vagy -mintájának hitelesítéséért, illetve a privát titkosítási kulcsok tárolásáért is. Ugyancsak a chipben tároldónak a külső appok érzékeny adatai is, mint például a fizetéshez szükséges bizonyos információk.

A Gitlab mint DevSecOps platform (x)

Gyere el Radovan Baćović (Gitlab, Data Engineer) előadására a november 7-i DevOps Natives meetupon.

A Gitlab mint DevSecOps platform (x) Gyere el Radovan Baćović (Gitlab, Data Engineer) előadására a november 7-i DevOps Natives meetupon.

De a cég nem csak a Pixelekben található Titan M háza táján emeli a tétet, új kategóriákba sorolt exploitok előtt is megnyitja a bugvadász program kapuját. Ilyenek az adatkiszivárogtatást lehetővé tevő hibák, illetve a zárképernyő megkerülését engedő bugok. Itt a cég a maximális jutalmat 500 ezer dollárnál húzza meg. A vállalat egyébként az elmúlt év során összesen több mint 1,5 millió dollárt fizetett ki a bugvadászoknak a felfedezett hibákért - akik több mint százan jeleztek valós sérülékenységeket a Google felé. A kutatóknak kifizetett összegek átlaga meghaladta a 3800 dollárt, ami 46 százalékos növekedést jelent a 2018-as számokhoz képest.

A legnagyobb kifizetett jutalom idén 161337 dollár volt, amelyet Guang Gong, a Qihoo 360 Technology szárnyai alatt működő Alpha Lab szakértője tehetett zsebre, az első, egy kattintásos, távoli kódfuttatást lehetővé tevő exploitlánc felfedezéséért a Pixel 3-on. Gongnak kifejezetten jó éve volt, ugyanis a fenti díj mellett a Chrome bugvadász programjából is 40 ezer dollár ütötte a markát. A vállalat új díjazási rendszere idén november 21-től él, a korábban leadott jelentéseket a cég a korábbi feltételeknek megfelelően bírálja majd el.

November 25-26-án 6 alkalmas K8s security és 10 alkalmas, a Go és a cloud native szoftverfejlesztés alapjaiba bevezető képzéseket indítunk. Az élő képzések órái utólag is visszanézhetők, és munkaidő végén kezdődnek. November 8-ig early bird kedvezménnyel!

a címlapról