Akár 1,5 millió dollárt is kicsenget a Google az androidos bugokért
A legsúlyosabb, Pixel okostelefonokban talált hibákért osztja ki a cég a vaskos jutalmat.
Brutális fejpénzzel licitál korábbi bug bountyjára a Google, a keresőóriás mostantól akár nem kevesebb mint 1,5 millió dollárt is kicsenget a Pixel okostelefonjaban talált legsúlyosabb sérülékenységek bejelentőinek. Korábban az androidos exploitok jutalmai 200 ezer dollárnál tetőztek.
A rekordösszeg két részből tevődik össze, a cég egyrészt egymillió dollárt fizet egy teljes exploitláncért, amely távoli kódfuttatást tesz lehetővé a Pixel eszközökön, a Titan M biztonsági komponens védelmét is kijátszva. Ehhez csap hozzá a cég egy 500 ezer dolláros bónuszt, ha a sérülékenységet a bugvadászok az Android bizonyos előzetes, Developer Preview kiadásaiban találják meg. A vaskos összeg komoly motivációt jelenthet a biztonsági kutatóknak, hogy alaposan górcső alá vegyék a rendszert, a bónusznak hála pedig a Google arra is sarkallja őket, hogy mindezt még a stabil, sok millió készülékre eljutó kiadás megjelenése előtt tegyék.
A Titan M chipet a cég először 2018-ban, a Pixel 3 modellekben vezette be, azóta pedig a Pixel 3a, illetve a Pixel 4 készülékekben is ott van. Ez felel többek között a zárképernyő feloldókódjának vagy -mintájának hitelesítéséért, illetve a privát titkosítási kulcsok tárolásáért is. Ugyancsak a chipben tároldónak a külső appok érzékeny adatai is, mint például a fizetéshez szükséges bizonyos információk.
A Gitlab mint DevSecOps platform (x) Gyere el Radovan Baćović (Gitlab, Data Engineer) előadására a november 7-i DevOps Natives meetupon.
De a cég nem csak a Pixelekben található Titan M háza táján emeli a tétet, új kategóriákba sorolt exploitok előtt is megnyitja a bugvadász program kapuját. Ilyenek az adatkiszivárogtatást lehetővé tevő hibák, illetve a zárképernyő megkerülését engedő bugok. Itt a cég a maximális jutalmat 500 ezer dollárnál húzza meg. A vállalat egyébként az elmúlt év során összesen több mint 1,5 millió dollárt fizetett ki a bugvadászoknak a felfedezett hibákért - akik több mint százan jeleztek valós sérülékenységeket a Google felé. A kutatóknak kifizetett összegek átlaga meghaladta a 3800 dollárt, ami 46 százalékos növekedést jelent a 2018-as számokhoz képest.
A legnagyobb kifizetett jutalom idén 161337 dollár volt, amelyet Guang Gong, a Qihoo 360 Technology szárnyai alatt működő Alpha Lab szakértője tehetett zsebre, az első, egy kattintásos, távoli kódfuttatást lehetővé tevő exploitlánc felfedezéséért a Pixel 3-on. Gongnak kifejezetten jó éve volt, ugyanis a fenti díj mellett a Chrome bugvadász programjából is 40 ezer dollár ütötte a markát. A vállalat új díjazási rendszere idén november 21-től él, a korábban leadott jelentéseket a cég a korábbi feltételeknek megfelelően bírálja majd el.