Google vyplatil doposud největší odměnu v rámci programu na odhalování chyb ve svých hardwarových produktech. Celkem 112,5 tisíce dolarů, což je v přepočtu cca 2,3 milionu korun. Odměnu dostal Guang Gong, čínský bezpečnostní expert pracující pro softwarovou společnost Qihoo 360 Technology.
Chybu Guang Gong nahlásil Googlu v srpnu minulého roku. Google ji prověřil, zajistil a nyní zveřejnil spolu s informací o vyplacení rekordní odměny. Ta se skládá ze dvou částí - 105 000 dolarů jde z programu odměn za objevení chyb v operačním systému Android a 7500 dolarů z programu pro Chrome.
Jedná se de facto o kombinaci dvou zranitelností - první z nich má označení CVE-2017-5116 a umožňuje vzdálené spuštění libovolného kódu v sandboxu prohlížeče Chrome. Ten je sice v systému Android docela dobře izolovaný, jenže druhá objevená chyba CVE-2017-14904 je dírou právě v této izolaci a umožňuje extrakci kódu ze sandboxu.
Pokud se dvě výše uvedené chyby zkombinují, může útočník na zařízení s Androidem vzdáleně spouštět libovolný kód. K útoku přitom stačí navštívit pouze návštěva infikované webové stránky prohlížečem Chrome.
Nemusíte mít obavy, Google tyto chyby pochopitelně již zacelil. Guang Gong dostal odměnu a má posloužit jako motivující příklad pro ostatní. Google neustále průběžně zvyšuje maximální možnou výši odměn a jako by tím sděloval: „když najdete závažnou bezpečnostní chybu v systému, bude pro vás výhodnější říct to nám, než prodávat na černém trhu nebo vytvářet vlastní malware.“ Chvályhodný přístup. Dlužno podotknout, že odměny za objevení chyb nabízí i ostatní velké softwarové firmy.
