GOOGLE ВИПЛАТИЛА РЕКОРДНУ ВИНАГОРОДУ ЗА ЗНАЙДЕНУ ВРАЗЛИВІСТЬ
Китайський експерт з безпеки отримав 112 500 доларів за виявлену уразливість в Android
На цьому тижні Google оголосила про виплату грошової винагороди для Гуан Гонг, дослідника вразливостей і працівника китайської компанії Qihoo 360 Technology. Він надав звіт про пролом в серпні 2017 року.
На минулорічному конкурсі Pwn2Own Google Pixel виявився єдиним смартфоном, який не вдалося зламати. Однак фахівці команди Qihoo 360 змогли виявити ряд вразливостей, спільна експлуатація яких дозволяє віддалено виконати код на Pixel і інших Android-пристроях.
Розроблений дослідниками експлоїт заснований на двох вразливостях. Перша являє собою помилку невідповідності використовуваних типів даних (type confusion) в движку JavaScript з відкритим вихідним кодом V8. Її можна використовувати для віддаленого виконання коду в ізольованому Chrome. Google виправила цю уразливість в вересні минулого коду з випуском Chrome 61. Друга проблема стосується модуля libgralloc в Android і може бути використана для виходу з оточення «пісочниці». Дана уразливість була усунена в грудні 2017 року.
За ланцюжок експлойтів команда заробила $ 105 тис. в рамках програми Android Security Rewards (ASR) і ще $ 7,5 тис. за програмою винагороди за знайдені вразливості в Chrome.