Хакер #305. Многошаговые SQL-инъекции
Компания Google увеличила размер вознаграждений по программе bug bounty. Теперь исследователи, нашедшие уязвимости в Android и модуле безопасности Titan M (используется в Google Pixel 3 и Pixel 4), могут заработать до полутора миллионов долларов.
Напомню, что Titan M представляет собой отдельный чип, который предназначен исключительно для обработки конфиденциальных данных и процессов, таких как Verified Boot, шифрование диска, защита экрана блокировки, безопасные транзакции и многое другое. И теперь представители Google сообщили, что если исследователям удастся создать цепочку эксплоитов для удаленного выполнения кода, который также подвергает риску данные, защищенные Titan M, компания заплатит за это до одного миллиона долларов. Более того, если цепочка эсплоитов будет работать для preview-версии Android, вознаграждение составит уже полтора миллиона долларов, ведь в таком случае уязвимости можно будет устранить до того, как проблемная версия ОС массово попадает на устройства пользователей.
Очевидно, это решение Google связано с тем, что в этом году частные брокеры уязвимостей увеличили вознаграждения за эксплоиты для Android до 2,5 миллионов долларов. То есть эксплоиты для Android впервые в истории стали стоить больше, чем эксплоиты для iOS.
Тогда Чауки Бекрар, глава компании Zerodium, объяснял, что его компания увеличила выплаты, так как устройства на Android стало труднее взломать, ведь Google постоянно добавляет все новые защитные механизмы своей ОС.
Помимо объявления огромной награды за компрометацию Titan M в Google также увеличили другие выплаты. Так, до недавнего времени максимальная выплата составляла 200 000 долларов, и для этого требовалось создать цепочку эксплоитов для удаленного выполнения кода, что приведет к компрометации TrustZone или Verified Boot. С момента запуска программы Android Vulnerability Rewards Program в 2015 году этой высшей награды так никто и не удостоился.
Теперь же компания готова заплатить до 500 000 долларов за проблемы, связанные с хищением данных и до 100 000 долларов за обход блокировки экрана (сумма вознаграждения зависит от сложности уязвимостей).
Представители Google напоминают, что с 2015 года уже выплатили исследователям порядка 4,5 миллионов долларов, причем 1,5 миллиона долларов были выплачены за последний год.