Google zvyšuje odmeny vo svojom “bug bounty” programe Android Security Rewards. Cez neho môžu odborníci na kybernetickú bezpečnosť nahlásiť vlastné zistenia vážnych nedostatkov v systéme Android a za svoju námahu získať nemalú sumu. Program bol spustený v roku 2015 a počas svojej krátkej histórie už vyplatil cez 4 milióny dolárov. Rozdelené boli medzi 1800 ohlásení bezpečnostných dier.
Spoločnosť teraz na svojom blogu informuje, že v tejto oblasti poriadne pritvrdzuje. Zavádza novú “hlavnú odmenu” vo výške 1 milión dolárov. Vyplatí ju v prípade, že etickí hackeri nájdu cestu ako prelomiť bezpečnostný čip Titan M v smartfónoch Google Pixel. Pri výške vyplatenej odmeny sa samozrejme prihliada na závažnosť bezpečnostnej zraniteľnosti, jej unikátnosť, pravdepodobnosť reálneho zneužitia a kopu ďalších faktorov.
Na to, aby si ľudia prišli k svojmu miliónu, musia nájsť extrémne kritickú zraniteľnosť. Google ako príklad uvádza nájdenie spôsobu, ako zabezpečenie Titan M prekonať na diaľku (bez fyzického prístupu). A to v takej miere, aby útočník získal trvalé prístupové práva a následne teda mohol vykonávať ďalšiu škodlivú činnosť.
Dve nové kategórie s odmenami do 500 tisíc dolárov
Program Android Security Rewards bol rozšírený aj o dve nové kategórie akceptovaných zraniteľností s odmenami do výšky 500 000 dolárov. Ide o bezpečnostné nedostatky a chyby, ktoré sa týkajú prelomenia ochranného prostredia uzamknutia obrazovky a tie, ktoré spadajú do oblasti neautorizovaného prístupu k dátam.
Spoločnosť okrem toho prichádza aj s bonusom vo výške 50%. Ten môže vyplatiť za bezpečnostné diery, ktoré sú prítomné a identifikované v pripravovaných verziách Androidu. Teoretická maximálna možná výška odmeny tak predstavuje až rozprávkových 1,5 milióna dolárov.
Reálne ale existuje len mizivá šanca, že niekomu bude vyplatená odmena v plnej výške. Etickí hackeri sa aj týmto spôsobom dokážu dostať k celkom pekným peniazom, hoci milióny to skutočne nie sú. Počas ostatných 12 mesiacov bolo cez program Android Security Rewards vyplatených celkovo 1,5 milióna dolárov. Najvyššia odmena dosiahla 161-tisíc dolárov a priemerná odmena za nahlásenú zraniteľnosť sa pohybovala na úrovni 3800 dolárov.
