Компания Google обновила условия программы Bug Bounty, в рамках которой она собирает информацию о проблемах безопасности в различных продуктах. Максимальный размер вознаграждения был увеличен, и теперь ИБ-специалистам и хакерам бывает выгоднее выдавать информацию об уязвимостях в Android и Android-смартфонах непосредственно Google, а не компаниям, которые скупают такие данные и используют их для взлома устройств на коммерческой основе.
Размер самого крупного вознаграждения, которое можно получить от Google в Android Vulnerability Rewards Program составляет 1,5 миллиона долларов. Для этого необходимо найти уязвимости в модуле безопасности чипа Titan M, затем создать цепочку эксплойтов для удалённого исполнения произвольного кода, причём эта цепочка должна работать в ещё не выпущенной preview-версии Android.
Чип Titan M установлен в смартфона Pixel 3 третьего и четвёртого поколения, он отвечает за обработку конфиденциальных данных и различные процессы защиты, в том числе проверку данных при запуске Android, шифрование накопителя, защиту экрана блокировки и безопасные трансакции.
Google также готова платить до 500 тысяч долларов за информацию о проблемах, связанных с хищением данных, и до 100 тысяч долларов за обход блокировки экрана смартфона. Сумма вознаграждения всегда зависит от сложности уязвимостей.
По словам Google, с 2015 года в рамках программы программы Android Vulnerability Rewards исследователям безопасности было выплачено более 4 миллионов долларов за 1800 сообщений о проблемах. За последний год выплаты увеличились на 20%, и теперь вознаграждение за информацию о проблеме безопасности в среднем составляет 15 тысяч долларов США (около одного миллиона рулей).
Компания Zerodium, занимающаяся скупкой информации об уязвимостях в популярном софте, недавно тоже увеличила вознаграждение за сведения о возможностях взлома Android-устройств. По словам главы Zerodium Чауки Бекрара, взламывать Android с недавних пор стало сложнее, чем iOS, именно по этому за эксплойты для платформы Google платят больше. Zerodium платит за эксплойты для Android до 2,5 миллиона долларов США в зависимости от того, насколько они ценные.
