Η Google ανακοίνωσε ότι είναι πρόθυμη να δώσει 1 εκατομμύριο δολάρια σε ερευνητή ασφαλείας που θα καταφέρει να βρει ένα μοναδικό σφάλμα στη σειρά τηλεφώνων Pixel, το οποίο θα μπορούσε να θέσει σε κίνδυνο τα δεδομένα των χρηστών. Επιπλέον, θα δώσει bonus 50 % εάν κάποιος ερευνητής ανακαλύψει exploit σε “συγκεκριμένες εκδόσεις προεπισκόπησης Android“. Αυτό σημαίνει ότι το χρηματικό ποσό θα φτάσει τα 1.5 εκατομμύρια δολάρια.
Για να πάρει κάποιος ερευνητής τη χρηματική αμοιβή, θα πρέπει να ανακαλύψει ένα σφάλμα που θα μπορούσε να «σπάσει» το Google Titan M.
Όπως το “iPhone Secure Elementa” της Apple, έτσι και το “Titan M” είναι ένα chip ασφαλείας, που ανιχνεύει αυτόματα τους hackers που προσπαθούν να φορτώσουν κακόβουλο λογισμικό σε ένα τηλέφωνο Android. Σε αυτό το bug bounty πρόγραμμα, η Google ζητά από τους ερευνητές να βρουν ένα σφάλμα που θα μπορούσε να παραβιάσει το Titan M σε συσκευές Pixel μέσω εκτέλεσης κώδικα απομακρυσμένα.
“Θα δώσουμε μεγαλύτερη αμοιβή για την ανακάλυψη μιας πλήρους αλυσίδας εκμεταλλεύσεων (πολλαπλές ευπάθειες που χρησιμοποιούνται μαζί) που επιτρέπει αυθαίρετη εκτέλεση κώδικα, απομάκρυνση δεδομένων ή παράκαμψη κλειδώματος οθόνης“, δήλωσε η Google.
Το χρηματικό ποσό που προσφέρει η Google είναι τεράστιο, ειδικά αν σκεφτούμε το πρώτο bug bounty πρόγραμμά της για Android, στο οποίο έδινε 38.000 δολάρια (μέγιστη ανταμοιβή).
Κάποιοι ερευνητές ασφαλείας ανακάλυψαν αυτή την εβδομάδα ότι η κάμερα των Google Pixel smartphones μπορεί να κατασκοπεύσει τους χρήστες.
Σύμφωνα με ερευνητές της εταιρείας Checkmarx, υπάρχουν ευπάθειες που επηρεάζουν τα camera apps κάποιων Android smartphones, όπως των Google Pixel και ορισμένων συσκευών Samsung. Αυτό σημαίνει ότι ένας τεράστιος αριθμός χρηστών βρίσκεται σε κίνδυνο. Μετά από ανάλυση της εφαρμογής Google Camera, η ερευνητική ομάδα διαπίστωσε ότι ένας hacker θα μπορούσε να τραβήξει φωτογραφίες ή βίντεο, χωρίς την άδεια των χρηστών.
Όλο και περισσότερες εταιρείες ανταμείβουν ερευνητές για την ανακάλυψη σφαλμάτων
Δεν είναι μόνο η Google που κάνει bug bounty προγράμματα και προσφέρει μεγάλες αμοιβές σε ερευνητές ασφαλείας. Η Apple, επίσης, δίνει τα iPhones σε ερευνητές για την ανακάλυψη πιθανών ευπαθειών. Η εταιρεία ξεκίνησε το bug bounty πρόγραμμα της πριν τρία χρόνια στο Black Hat conference και τώρα το έχει επεκτείνει ώστε να γίνεται έλεγχος σχεδόν σε όλα της τα προϊόντα (iPhones, macOS, Apple Watch, Apple TV και άλλα). Αντίστοιχο πρόγραμμα διαθέτει και η Microsoft και άλλες μεγάλες εταιρείες.
