Bug bounty u Androidu, nyní za nalezení chyby až 1,5 mil. USD
25.11.2019, Milan Šurkala, aktualita
Bug bounty programy povzbuzují bezpečnostní výzkumníky, aby v produktech společnosti nacházeli závažné bezpečnostní chyby. Nově se v rámci programu Android Security Rewards může vydělat až 1,5 mil. USD za chybu.
Mnoho společností tvořících aplikace a operační systémy má svůj bug bounty program, kdy vyzývají další vývojáře a etické hackery, aby v těchto produktech hledali závažné bezpečnostní chyby. Společnost Google chce posunout tento program ještě dál a nabízí až 1,5 mil. USD za nalezení chyby v Androidu a nových telefonech Google Pixel. Jde o program Android Security Rewards (ASR) a nejvyšší cena je nově 1 mil. USD, pokud se povede nabourat bezpečnostní čip Titan M (Pixel 3 a novější) tak, že bude útočník schopen vzdáleně spouštět na telefonu vlastní kód a ten navíc bude perzistentní, tedy vydrží v paměti i po restartu telefonu. Pokud půjde o specifické vývojářské preview verze, odměna může být navýšena o dalších 50 %, čímž se dostáváme na oněch 1,5 mil. USD.
Google zároveň zveřejnil zajímavé statistiky. V programu, který spustil v roce 2015, ocenil zhruba 1800 reportovaných chyb v celkové hodnotě 4 mil. USD. Prozatím bylo nejvyšší odměnou 201.337 USD pro Guanga Gonga (@oldfresher) z Alpha Lab, Qihoo 360 Technology Co. Ltd. Ten našel závažnou chybu týkající se Google Chrome, přičemž 161.337 USD šlo z programu ASR a dalších 40.000 USD z Chrome Rewards. Za poslední rok 2019 bylo prozatím vyplaceno už více než 1,5 mil, USD a průměrně to bylo 3.800 USD za nález (o 46 % více než loni). Celkově bylo oceněno zhruba 100 výzkumníků, takže v průměru to činí 15.000 USD na jednoho (nárůst o 20 %).
