Мільйон за діру в телефоні: Google платитиме до $1,5 млн за вразливості в Android

Уявіть, що ви знайшли спосіб непомітно зламати чужий телефон. Але замість того, щоб скористатися цим, ви телефонуєте в Google і за це отримуєте мільйон доларів. Скажете, що звучить як казка? Втім це реальна можливість заробити такі кошти.

Нещодавно Googleоголосила, що заплатитьдо $1,5 мільйоназа знайдені вразливості в операційній системі Android та браузері Chrome.

$1,5 мільйона дістанеться тому, хто зламає телефон Pixel непомітно (без жодної дії з боку господаря) і при цьому збереже постійний доступ до нього. Якщо станеться злам, але доступ не буде збережено – хакер отримає до $750 000. За викрадення особистих даних із захищеної пам'яті пристрою передбачена сума до $375 000.

Це рекордна виплата за одну вразливість в історії програми Google. Лише минулого року компанія виплатила дослідникам загалом $17,1 мільйона, заплативши на 40% більше, ніж роком раніше.

Також передбачена нагорода за знайдені вразливості в браузері Chrome. Хакер отримає до $250 000 за повний злам браузера на сучасному пристрої. Додатково передбачений бонус – до $250 тис. за обхід захисного механізму MiraclePtr (це внутрішній захисний механізм Chrome, який Google розробила сама).

Відповідь проста: одна компанія не може знайти та перевірити кожну щілину. Навіть Google. Android встановлений на понад 3 мільярди телефонів по всьому світу. Відповідно, чим більше незалежних очей перевіряють систему, тим вона надійніша.

Тому ще у 2010 році Google запустила програму Bug Bounty («полювання за помилками»). Принцип простий: знайшов “діру” у програмному забезпеченні – повідомив – отримав гроші. За весь час існування програми компанія виплатила дослідникам понад $81 мільйон.

Це вигідно всім. Компанія закриває небезпечні вразливості. Дослідник отримує чесний заробіток. А мільярди користувачів – захищені телефони.

Хто ці люди? Зазвичай програмісти та фахівці з кібербезпеки, яких називають «білими хакерами». Вони не зламують системи заради крадіжки чи шпигунства. Вони шукають вразливості і чесно повідомляють про них компанії.

Участь у програмі відкрита для всіх охочих. Потрібні лише технічні знання, реєстрація на платформі та, звісно, результат.

Є й ширший контекст, який варто розуміти. Атаки, що не вимагають жодної дії від користувача  вважаються одними з найнебезпечніших загроз у сучасному мобільному світі. Саме на них тепер зосереджує фінансові стимули Google.

Тому Bug Bounty – це не просто спосіб заробити. Це можливість об’єднатися та допомагати компаніям протидіяти шкідникам.

Але є й важлива деталь. Google змінила не лише суми, а й правила гри. Тепер недостатньо просто повідомити компанію про те, що ви знайшли проблему. Потрібно довести, що вона реально існує, й бажано одразу запропонувати спосіб, як її виправити.  Звіт без конкретного доказу існування проблеми більше не вважається повноцінним.

Причина зрозуміла – штучний інтелект. Через стрімке зростання кількості ШІ-інструментів для пошуку вразливостей до Google відправляють автоматично згенеровані звіти. Тепер компанія свідомо фокусується на вразливостях, які складно виявити автоматично. Відповідно, більше платить за ті, які потребують справжнього людського інтелекту та технічної майстерності.

Так. Програма Google відкрита для учасників з усього світу. Українські фахівці з кібербезпеки давно відомі на міжнародному ринку, й Bug Bounty для них не нове явище.

Втім у 2022 році виникла серйозна проблема з фінансовими винагородами. Українські дослідники заявили, що платформа HackerOne заморозила їхні виплати. Причиною стали помилково введені санкційні обмеження на Україну, які першочергово запроваджувались проти рф. Це викликало хвилю обурення. Зрештою HackerOne публічно вибачилась і підтвердила, що виплати не блокуватимуться.

Крім того, в нашій країні розвивається й власна Bug Bounty-культура. Мінцифра вже кілька разів проводила подібні програми для застосунку «Дія». Під час однієї з них 329 фахівців захотіли взяти участь, подали десятки заявок йчетверо отримали реальні виплати. Найбільша сума становила 750$ за знайдену вразливість.

А у 2023 році Кабінет Міністрів затвердив офіційний механізм Bug Bounty для всіх державних електронних систем.

Якщо ви маєте технічні знання у сфері кібербезпеки (або ж лише розвиваєте ці навички) – ось з чого варто почати:

Читай нас уTelegramтаSends