• Home
• Short News
• Long News
• Long Reads
• Support
• Library
• blogs
• links
• Полная версия сайта

Google вручила самую большую награду за поиск багов

Китайский ИБ-эксперт получил более $100 000 за обнаружение опасных ошибок безопасности Android.

Специалист из Китая получил самый большой денежный приз в истории программы Android Security Rewards c 2015 года. Ранее компания Google запустила подобные программы и для других своих сервисов, в том числе Google Play и Chrome.

Гуан Гун (Guang Gong), один из ведущих экспертов по кибербезопасности в китайской ИБ-компании Qihoo 360, обнаружил две дыры в системе безопасности Android. Мошенники могли воспользоваться ими для запуска цепи эксплойтов. В зоне особого риска при этом оказались смартфоны линейки Pixel.

Первая уязвимость — ошибка безопасности движка V8 в браузере Chrome (CVE-2017-5116). Киберпреступники могли эксплуатировать эту брешь для выполнения произвольного кода в процессе system_server. Вредоносный код, таким образом, попадал на устройство через зараженный URL.

Вторую брешь (CVE-2017-14904) специалист нашел в библиотеках Gralloc. В блоге разработчиков Android писали, что ее, вероятнее всего, могли использовать для обхода песочницы.

Обеим брешам присвоен высокий уровень серьезности в рамках общей системы оценки уязвимостей.

Гуну удалось заработать $105 000 в рамках программы вознаграждений за брешь, найденную в Android, и еще $7500 в качестве бонуса по программе поиска уязвимостей в Chrome. Таким образом, всего он получил $112 500.

ИБ-специалисты Qihoo 360 не в первый раз находят уязвимости в системе Android. В 2016 году они продемонстрировали атаки с использованием некоторых из них на состязании PwnFest. В ходе соревнований также отличился и Гуан Гун — он получил грант в размере $150 000 от спонсоров мероприятия за взлом смартфона Pixel. Эксперт использовал уязвимость нулевого дня, которую обнаружил ранее.

Летом 2017 года Google сообщила об увеличении награды за обнаружение эксплойтов ядра — теперь она составляет $150 000. Кроме того, в несколько раз выросли суммы вознаграждения за уязвимости выполнения удаленного кода и особо опасные цепи эксплойтов.

Ваш голос учтён!

нравится

не нравится

Рейтинг:

0

Всего голосов: 0

Новые материалы в Разное:

RuStore открыл доступ иностранным разработчикам   // 08 февраля

CISA опубликовало декриптор в помощь жертвам шифровальщика ESXiArgs   // 08 февраля

Google обещает блюрить непристойные и жестокие картинки поиска   // 08 февраля

Бизнес предлагает продавать алкоголь по 2FA   // 08 февраля