Hľadanie chýb a hlavne bezpečnostných dier v operačných systémoch môže byť často finančne zaujímavosť činnosť. Veľa bezpečnostných expertov sa snaží odhaliť potenciálne diery nielen v desktopových systémoch ako Windows alebo Mac OS, ale aj mobilných ako je Android. V minulosti už bolo niekoľko takýchto “opravárov” chýb odmenených samotnou spoločnosťou, ktorá za systémom stojí. Často sa odmena vyšplhá k desiatkam tisícom vyplatených dolárov. A práve teraz sa o rekordnú sumu postaral prípad bezpečnostného experta Alpha Teamu s menom Guang Gong, ktorému sa podarilo objaviť zraniteľnosť smartfónov Pixel.
Rekordná odmena v rámci ASR
Google pred rokmi spustil program Android Security Rewards (ASR), ktorý hľadačov bugov a iných bezpečnostných chýb odmeňuje skutočne peknými sumami peňazí. Gong si prišiel narekordných 105 000 dolárov z programu ASR a o ďalších 7 500 dolárov z programu Chrome Rewards. Celkovo tak získal 112 500 dolárov. V prepočte sa jedná o približne 90 tisíc EUR!
Čoho sa chyby týkajú?
Odhalené chyby majú označenie CVE-2017-5116 a CVE-2017-14904. Prvá menovaná umožňuje vzdialene spustenie ľubovolného kódu v sandboxe prehliadača Chrome. Ten je síce v systéme Android dobre izolovaný, ale druhá objavená chyba CVE-2017-14904 je dierou práve v tejto izolácii a umožňuje extrakciu kódu zo sandboxu. Pokiaľ sa obe chyby skombinujú, môže útočník na Android smartfóne na diaľku spúšťať ľubovolný kód. K útoku stačí navštíviť infikovaný web pomocou prehliadača Chrome. Chyba by mala byť opravená v decembrovej bezpečnostnej aktualizácii.
Zdroj: digit
