Το πρόγραμμα bug bounty της Google για Android, γνωστό ως Android Security Rewards, έχει δώσει πάνω από 4 εκατομμύρια δολάρια τα τέσσερα χρόνια από την κυκλοφορία του, το οποίο περιλαμβάνει περισσότερες από 1.800 μεμονωμένες αναφορές. Η εταιρεία θέλει τώρα να χτίστε πάνω σε αυτήν την επιτυχία επεκτείνοντας το πρόγραμμα και προσθέτοντας ανταμοιβές υψηλότερης απόδοσης για να προσελκύσει περισσότερους ερευνητές να διερευνήσουν την υπάρχουσα αρχιτεκτονική ασφάλειας της εταιρείας.
Η πιο σημαντική ανταμοιβή στο πλαίσιο του προγράμματος σχετίζεται τώρα με το ολοκληρωμένο chip ασφαλείας της εταιρείας για τη σειρά smartphone της Pixel - το Titan M - το οποίο λέει ότι έχει δώσει το Pixel 3 το προνόμιο να έχει την ισχυρή βαθμολογία για την ενσωματωμένη ασφάλεια μεταξύ της τρέχουσας περικοπής συσκευών ναυαρχίδας. Οποιοσδήποτε ερευνητής μπορεί να αποδείξει "μια πλήρη απομακρυσμένη εκτέλεση κώδικα αλυσίδας εκμεταλλεύεται με επιμονή που διακυβεύει το ασφαλές στοιχείο Titan M σε συσκευές Pixel "θα είναι επιλέξιμο για 1 εκατομμύριο $ ημέρα πληρωμής.
Η Verizon προσφέρει το Pixel 4a με μόλις $ 10 / μήνα σε νέες Απεριόριστες γραμμές
Αυτός ο αριθμός - μαζί με άλλες πιθανές ανταμοιβές - μπορεί να αυξηθεί περαιτέρω κατά 50% εάν το exploit μπορεί να αναπαραχθεί σε συγκεκριμένες εκδόσεις προεπισκόπησης προγραμματιστή του λειτουργικού συστήματος. Συνολικά, αυτό σημαίνει ότι η μεγαλύτερη δυνατή ανταμοιβή για το πρόγραμμα είναι τώρα ένα επιβλητικό 1,5 εκατομμύριο δολάρια. Δεδομένου ότι πρόκειται για έναν μάλλον εξειδικευμένο στόχο - και μπορεί να είναι ιδιαίτερα δύσκολο να επιτευχθεί, δεδομένης της εμπιστοσύνης της Google στο τσιπ Titan M - η εταιρεία προσφέρει επίσης μια ποικιλία νέων ανταμοιβών για άλλους τύπους ευπάθειας που σχετίζονται με την αποβολή δεδομένων και την οθόνη κλειδώματος παράκαμψη. Αυτά μπορούν να φτάσουν έως και 500.000 $ ανά αναφορά, με βάση τη φύση της εκμετάλλευσης. Οι λεπτομέρειες αυτών μπορεί να βρεθούν εδώ.
Οι αλλαγές στο πρόγραμμα, που έχουν καταβάλει συνολικά 1,5 εκατομμύρια δολάρια σε περισσότερους από 100 διαφορετικούς ερευνητές κατά το τελευταίο έτος, πρόκειται να κυκλοφορήσουν στις 21 Νοεμβρίου 2019. Τυχόν ποσά που αναφέρθηκαν μετά από αυτήν την ημερομηνία θα βασίζονται στους νέους κανόνες. Δυστυχώς, ωστόσο, εάν ανακαλύψατε και αναφέρατε ένα exploit πριν από αυτήν την ημερομηνία, θα πληρωθείτε με βάση την προηγούμενη κλίμακα.