Компания Google высоко ценит работу специалистов по поиску уязвимостей в фирменных продуктах, поэтому активно поддерживает и выделяет денежные средства на собственную систему поощрений. Специалисты по ИБ регулярно находят в браузере Chrome, мобильной платформе Android и прочих продуктах уязвимости, за которые компания перечисляет им очень солидные денежные вознаграждения. Но последняя выплата побила все рекорды и стала одной из самых крупных за всю историю существования этой программы.
Android Security Rewards, в рамках которой осуществляется выплата вознаграждений, была запущена почти 3 года назад. Как можно догадаться по названию, она используется для поиска и получения вознаграждений за баги, обнаруженные в мобильной платформе Android. Аналогичные программы сегодня успешно действуют и для других фирменных продуктов, в том числе для браузера Google Chrome и магазина расширений Google Play.
Одну из самых высоко оцененных уязвимостей в мобильной платформе Android удалось обнаружить известному эксперту по кибербезопасности Гуану Гуну, который работает в компании Qihoo 360. Всего ему в рамках проделанной недавно работы удалось обнаружить 2 уязвимости, которые могли использоваться злоумышленниками для того, чтобы запустить целую цепь экплоитов и получить доступ к устройствам своих жертв. Особенно высокую опасность эти уязвимости представляли для смартфонов Pixel.
Первая обнаруженная Гуном уязвимость затрагивает непосредственно движок V8, используемый в браузере Chrome. Баг получил идентификатор CVE-2017-5116. С помощью данной уязвимости преступники могли заразить устройство и выполнить на нем произвольный код в системном процессе. Чтобы загрузить на смартфон вредоносный код, достаточно было всего лишь заманить пользователя на зараженный сайт, а сделать это не так уж и сложно, особенно используя для этого методы социальной инженерии.
Вторая брешь, которой был присвоен идентификатор CVE-2017-14904, была обнаружена в библиотеках Gralloc. Разработчики затруднились объяснить, для каких целей она может использоваться, но тем не менее предположили, что эту уязвимость хакеры могут применять для того, чтобы обойти песочницу.
Система оценки уязвимостей присвоила этим багам высокий уровень опасности, благодаря чему Гун смог получить очень большое денежное вознаграждение.
За дыру, обнаруженную в мобильной платформе Android, специалист получил 105 тысяч долларов. Еще 7500 долларов ему перечислили за брешь, найденную в библиотеках. В общей сложности за две уязвимости эксперт смог получить 112 500 долларов.
Отметим, что специалисты из Qihoo 360 регулярно обнаруживают уязвимости в самых разных программных продуктах и принимают участие в таких серьезных соревнованиях среди «белых» хакеров, как PWNFest. В 2016 году Гун тоже смог отличиться. Он взломал смартфон Pixel с помощью уязвимости нулевого дня, за счет чего получил денежное вознаграждение в размере 150 тысяч долларов.