Хакеры поймали удачу на ошибках в безопасности Google

29.01.2020

Google теперь предлагает до 1 миллиона долларов за найденные ошибки в безопасности в системе Android и приложениях для нее. И профессиональные хакеры на этом неплохо зарабатывают.

фото: компании-производители

В 2019 году Google выплатил исследователям в области безопасности более $6,5 миллионов в рамках своих программ по поощрению поиска уязвимостей с ОС Android. И самая крупная награда за прошедший год достигла 201 000 долларов.

В общей сложности в этой работе приняли участие 461 исследователь, которые лишь сообщают об обнаруженных проблемах в безопасности. Эти люди участвуют в различных профильных программах и получают вознаграждения за найденные ошибки в ПО Google. Как сообщила компания Google в своем блоге по защите данных, прошедший год стал для нее рекордным и, благодаря исследователям многие проблемы удалось решить очень быстро. Компания выплатила более $6,5 миллионов в виде вознаграждений, что вдвое больше, чем когда-либо платила за один год. В то же время сами исследователи решили пожертвовать рекордную сумму в $500 000 на благотворительность в 2020 году. Это в 5 раз больше, чем когда-либо пожертвовали участники за один год.

Из $6,5 миллионов, выплаченных в прошлом году, основная программа Google составила $2,1 миллиона, а на выявление уязвимостей в ОС Android было выделено $1,9 миллиона. Проблемы с безопасностью в Google Chrome принесли исследователям вознаграждение в размере $1 миллиона, а вознаграждение за работу над Google Play достигло $800 000.

Увеличение вознаграждений

В 2018 году Google выплатил исследователям в области безопасности $3,4 миллиона вознаграждений в рамках своих программ по поиску уязвимостей и выявлению ошибок в ПО, и уже тогда было зафиксировано приличное  увеличение, по сравнению с $2,9 миллиона годом ранее. Это означает, что сумма, выплаченная компанией, почти удвоилась в этом году, и ожидается дальнейший рост в 2020 году.

Одно из самых больших изменений, которые были реализованы в прошлом году в «Программе вознаграждений» за обнаруженные уязвимости, касается Android. Теперь поисковая поисковый гигант может заплатить не менее $1 миллиона за эксплойт с полной цепочкой удаленного выполнения кода с влиянием на элемент безопасности Titan M в смартфонах линейки Pixel.

Как поясняет Google, Android Security Rewards выявляет ошибки в коде, который запускается на подходящих устройствах и уже не распространяется на другие программы вознаграждений в Google. В число допустимых ошибок входят ошибки в коде AOSP, коде OEM (библиотеки и драйверы), ядре, коде защищенного элемента, а также ОС и модулях TrustZone. Уязвимости в другом коде, отличном от Android, например в коде микропрограммного обеспечения, могут быть приемлемыми, если они влияют на безопасность ОС Android.

Читайте также: