Google | Android | Bezpečnost

Našel chybu v Androidu a od Googlu za to dostal přes dva miliony korun

Našel chybu v Androidu a od Googlu za to dostal přes dva miliony korun

Google vyplatil doposud největší odměnu v rámci programu na odhalování chyb ve svých hardwarových produktech. Celkem 112,5 tisíce dolarů, což je v přepočtu cca 2,3 milionu korun. Odměnu dostal Guang Gong, čínský bezpečnostní expert pracující pro softwarovou společnost Qihoo 360 Technology.

Chybu Guang Gong nahlásil Googlu v srpnu minulého roku. Google ji prověřil, zajistil a nyní zveřejnil spolu s informací o vyplacení rekordní odměny. Ta se skládá ze dvou částí - 105 000 dolarů jde z programu odměn za objevení chyb v operačním systému Android a 7500 dolarů z programu pro Chrome.

Jedná se de facto o kombinaci dvou zranitelností - první z nich má označení CVE-2017-5116 a umožňuje vzdálené spuštění libovolného kódu v sandboxu prohlížeče Chrome. Ten je sice v systému Android docela dobře izolovaný, jenže druhá objevená chyba CVE-2017-14904 je dírou právě v této izolaci a umožňuje extrakci kódu ze sandboxu.

Pokud se dvě výše uvedené chyby zkombinují, může útočník na zařízení s Androidem vzdáleně spouštět libovolný kód. K útoku přitom stačí navštívit pouze návštěva infikované webové stránky prohlížečem Chrome.

Nemusíte mít obavy, Google tyto chyby pochopitelně již zacelil. Guang Gong dostal odměnu a má posloužit jako motivující příklad pro ostatní. Google neustále průběžně zvyšuje maximální možnou výši odměn a jako by tím sděloval: „když najdete závažnou bezpečnostní chybu v systému, bude pro vás výhodnější říct to nám, než prodávat na černém trhu nebo vytvářet vlastní malware.“ Chvályhodný přístup. Dlužno podotknout, že odměny za objevení chyb nabízí i ostatní velké softwarové firmy.

Diskuze (17) Další článek: Piano Hi-Lite je chytrý gadget, se kterým se naučíte hrát na klavír

Témata článku: Software, Google, Android, Chrome, Operační systémy, Bezpečnost, Kód, Gong, Softwarová společnost, Objevení, Uvedená chyba, Operační systém, Vzdálené spuštění, Chyba, Největší odměna, Hardwarový produkt, Černý trh, MITRE, Odměna, Sandbox, Libovolný kód, Minulý rok, Prohlížeč, CVE, Dolar


Určitě si přečtěte