Google сравнит Apple с тем, сколько она заплатит исследователям, которые обнаружат взлом, который позволяет удаленно управлять своими смартфонами. Это происходит в то время, когда технологические гиганты находятся в гонке вооружений с частными рынками и правительствами, предлагающими крупные выгоды для уникальных хаков.
Объявленный в четверг, предложение на 1 миллион долларов предназначено для тех, кто может продемонстрировать уникальную атаку на своих телефонах Pixel 3 и 4, если они обеспечивают постоянный доступ к устройству. Любой, кто надеется получить награду, должен будет взломать «защищенный элемент» Google Titan M. Подобно iPhone Secure Element от Apple, Titan M – это микросхема безопасности, которая служит своего рода защитником данных устройства. Например, он будет искать хакеров, пытающихся загрузить вредоносное ПО при включенном телефоне Android, и будет защищать пароли приложений.
Google также предлагает до 1,5 миллионов долларов за эксплойты, найденные в предварительных версиях Android для разработчиков. Награды за успешные взломы этих версий получат 50% бонус. И снова Apple анонсировала нечто подобное еще в августе. «Поскольку [Android] Q был только что выпущен, мы будем внедрять его на некоторых предварительных сборках для разработчиков для следующей версии Android», – объяснила Джессика Лин из группы безопасности Android.
Сегодня в: инновации
Также предлагается вознаграждение в размере до 500 000 долларов за конкретные атаки, которые приводят к краже данных и обходу экрана блокировки. Доброжелательные хакеры могут узнать, сколько они могут заработать, на обновленной странице правил Google по программе безопасности Android. Опять же, это будет ограничено телефонами Pixel с последней версией Android.
Программа выходит в эфир сегодня. Но любому, кто надеется, что их уже представленные ошибки соответствуют увеличению вознаграждений, не повезло: Google будет выдавать только большие награды за исследования, опубликованные с 21 ноября.
ПРОДВИГАЕМЫЕ
Щедрости за ошибки становятся намного больше
Крупные технологические компании по всему миру предлагают более крупные выплаты тем, кто может помочь им повысить безопасность своих устройств, взломав их. Google заявил, что за последние 12 месяцев он выдал исследователям 1,5 миллиона долларов. Максимум, что он дал одному исследователю, – это взлом Pixel 3 одним щелчком мыши, созданный Гуан Гун. Он получил 161 337 долларов США по программе Android Security Rewards и 40 000 долларов США по отдельной инициативе Chrome Rewards на общую сумму 201 337 долларов США.
Незадолго до этой недели Forbes сообщил о собственной награде Huawei, которая на короткое время превзошла Google, предложив 220 000 долларов за взлом удаленного управления многими устройствами Android. Google ранее предлагал высшую награду в размере 200 000 долларов.
Google не предложил каких-либо мотивов для массового увеличения награды в сообщении в блоге, в котором описываются обновления вчера. На вопрос о них менеджер по безопасности и конфиденциальности Android Скотт Уэстовер сказал Forbes: «Мы считаем, что программа Android Security Rewards принесла огромную пользу сообществу, поэтому мы хотим и впредь стимулировать к участию лучших исследователей в мире. «.
Недавнее объявление Apple, возможно, послужило мотивацией. Но все более прибыльный частный рынок эксплойтов, на котором предлагаются миллионы для отдельных взломов, мог бы стать еще одним стимулом. Эта индустрия, полная бутиковых нарядов, таких как Zerodium и Crowdfense, обычно платит исследователям больше, чем поставщикам технологий, продавая свои результаты клиентам, часто правительствам.
Атаки могут быть повторно использованы в военных или разведывательных целях или в целях защиты. Но, как неоднократно указывали органы, занимающиеся цифровыми правами, нераскрытие информации поставщикам означает, что они не могут исправиться, что делает уязвимыми миллиарды пользователей.
Французский исследователь Роберт Баптист сказал Forbes, что, хотя некоторые хакеры будут продолжать продавать правительствам и их подрядчикам, объявление Google послало «очень позитивный сигнал для сообщества информационной безопасности и безопасности в целом».
