Новости Google готова заплатить до $1,5 млн за эксплоит для Titan M

DOMINUS_EDEM

Прошлый ник Khan
ПРОВЕРЕННЫЙ ПРОДАВЕЦ
Private Club
Старожил
Регистрация
23/1/16
Сообщения
2.067
Репутация
5.626
Реакции
5.872
RUB
0
Депозит
22 000 рублей
Сделок через гаранта
21
Программа вознаграждения за поиск уязвимостей Google Android Security Rewards существует с 2015 года и принесла миллионы долларов исследователям, обнаружившим проблемы в мобильной операционной системе. Теперь компания Google программу и готова заплатить вплоть до $1,5 млн за определенные типы эксплоитов.

Компания заплатит $1 млн за цепочку эксплуатации уязвимостей в компоненте Titan M в смартфонах Google Pixel, которая позволит добиться персистентности на устройстве и инициировать удаленное выполнение кода. Модуль Titan M был впервые представлен вместе с Pixel 3, и, согласно данным Gartner, обладает высоким уровнем защиты. Награда за данный эксплоит может быть увеличена на 50%, если он будет работать на определенных сборках Android для разработчиков, то есть, исследователи смогут получить за подобный эксплоит $1,5 млн.

За последние 12 месяцев Google выплатила в общей сложности около $1,5 млн в виде вознаграждений, включая несколько премий. Самая большая выплата за данный период составила $161 337.

В дополнение ко всему, компания также вводит новые уровни наград с более высокими выплатами, чем раньше. К ним относятся эксплоиты, включающие эксфильтрацию данных и обход экрана блокировки, а вознаграждение за них будет доходить до $500 тыс.

Напомним, ранее Компания Huawei в Мюнхене тайную встречу Mobile Vulnerability Reward Program с известными исследователями безопасности мобильных устройств и объявила о запуске собственной программы вознаграждения за поиск уязвимостей в смартфонах. Максимальный размер вознаграждения составит до 200 тыс. евро (удаленное выполнение кода), а минимальный — 1 тыс. евро (раскрытие информации).
 
Если вы планируете сделку с его участием, мы настоятельно рекомендуем вам не совершать ее до окончания блокировки. Если пользователь уже обманул вас каким-либо образом, пожалуйста, пишите в арбитраж, чтобы мы могли решить проблему как можно скорее.
Видимо это дешевле чем потом отвечать за ложные обещания безопасности.

На практике все не так весело для тестировщиков. Там условия загнанные в такие жесткие критерии, что даже если найти уязвимость и использовать её, окажется что это надо было сделать если на фоне устройства стоит сини фон (нет конечно, но такие же абсурдные рамки)
 
Сверху Снизу