Google выплатила рекордное вознаграждение за найденную уязвимость

Китайский эксперт по безопасности получил 112 500 долларов за обнаруженную уязвимость в Android.

На этой неделе Google объявила о выплате денежного вознаграждения для Гуан Гонг, исследователя уязвимостей и работника китайской компании Qihoo 360 Technology. Он предоставил отчёт о брешах в августе 2017 года.

На прошлогоднем конкурсе Pwn2Own Google Pixel оказался единственным смартфоном, который не удалось взломать. Однако специалисты команды Qihoo 360 смогли выявить ряд уязвимостей, совместная эксплуатация которых позволяет удаленно выполнить код на Pixel и других Android-устройствах.

Разработанный исследователями эксплоит основан на двух уязвимостях. Первая представляет собой ошибку несоответствия используемых типов данных (type confusion) в движке JavaScript с открытым исходным кодом V8. Ее можно использовать для удаленного выполнения кода в изолированном обработчике Chrome. Google исправила эту уязвимость в сентябре прошлого кода с выпуском Chrome 61. Вторая проблема затрагивает модуль libgralloc в Android и может быть использована для выхода из окружения «песочницы». Данная уязвимость была устранена в декабре 2017 года.

За цепочку эксплоитов команда заработала $105 тыс. в рамках программы Android Security Rewards (ASR) и еще $7,5 тыс. по программе вознаграждения за найденные уязвимости в Chrome.

Google работает над обеспечением безопасности телефонов Pixel как на аппаратном, так и на программном уровне. Pixel 2 и Pixel 2 XL имеют защищенную от несанкционированного доступа аппаратную часть. Google утверждает, что хакерам будет сложно расшифровать данные, не зная пароля. Но Гонг и его команда на Pwn2Own 2016, престижном ежегодном конкурсе хакеров, сумели взломать Pixel первого поколения за 60 секунд. Qihoo 360 выиграла денежный приз в размере 120 000 долларов за свои усилия. В общей сложности получилось 520 000 долларов призовых на конкурсе за взлом нескольких программ, в том числе Adobe Flash.

Нравится5
Комментарии (3)
  • 10
    Можно было сократить весь текст до Китайский эксперт по безопасности получил 112 500 долларов за обнаруженную уязвимость в Android..

    Техническую часть на Пеге все равно никто не понял наверное.
  • 4
    Google утверждает, что хакерам будет сложно расшифровать данные, не зная пароля.

    заметьте, они не используют слово "невозможно" :) Они просто говорят "хакерам будет сложно". Как говорится, сложно, но можно.
  • 0
    Pixel 2 и Pixel 2 XL имеют защищенную от несанкционированного доступа аппаратную часть. Google утверждает, что хакерам будет сложно расшифровать данные, не зная пароля. Но Гонг и его команда на Pwn2Own 2016, престижном ежегодном конкурсе хакеров, сумели взломать Pixel первого поколения за 60 секунд.

    Чет ор.
B
i
u
Спойлер