programista androida
8

Możesz dorobić się na tym, że Android jest… dziurawy. Google podnosi stawki

Część z Was pewnie wie o tym, że istnieje coś takiego jak Android Security Rewards Program. W jego ramach możecie zarobić niemałe pieniądze na znajdowaniu podatności w systemie mobilnym Google. Po czterech latach jego funkcjonowania, Google znacząco podnosi stawki.

Jednostkowa nagroda może wynosić nawet 1,5 mln dolarów, jednak trzeba spełnić pewne istotne wymagania. Milion dolarów można zgarnąć za doprowadzenie do pełnego wykonania złośliwego kodu (i utrzymać ten stan), jednocześnie wykazując słabość czipu Titan M, odpowiadającego za bezpieczeństwo telefonów Pixel od Google (po raz pierwszy wprowadzony w Pixel 3). Nagroda za wykonanie tego zadania może jednak wzrosnąć o 50%, jeżeli atak zostanie wykonany na określonch, deweloperskich wersjach systemu Android. Razem, znalazca może zgarnąć aż 1,5 mln dolarów. Sporo.

Czytaj więcej: Pornhub otwiera program bug bounty. Dlaczego takie akcje są potrzebne?

Czy jest to dużo? Uważa się, że bardzo dużo: wystarczy sobie uzmysłowić to, że Google wypłacił znalazcom błędów w systemie Android właśnie 1,5 mln dolarów w ciągu ostatnich 12 miesięcy. Najwyższą wypłaconą nagrodą przez Google było 161 337 dolarów. Średnio, na znalazcę przypada około 3 800 dolarów nagrody. Takie kwoty nie są już szczególnie zaskakujące – można stwierdzić, że są one „rozczarowujące”. Czy to oznacza, że program bug bounty jest nic niewarty?

Android

Owszem, nie. Program ten rządzi się pewnymi prawami i reguły przyznawania nagród są bardzo jasno określone. Google bardzo jasno zaznacza, co może zostać uznane za błąd (i ile to będzie kosztować). Co więcej, znalazca musi trzymać się pewnych określonych procedur: istotne jest to, by Google było pierwszym podmiotem, który dowie się o luce. To najważniejszy warunek do spełnienia przez znalazcę błędu.

Inne ataki też mogą „sporo kosztować”

Oprócz zmian w najważniejszym punkcie programu bug bounty, Google zdecydowało się zmodyfikować nagrody za ominięcie np. lock screena. Tutaj można liczyć nawet na 500 000 dolarów. Gigant zdaje się poważnie podchodzić do bezpieczeństwa swojej platformy mobilnej, a programy bug bounty są bardzo dobrym sposobem na zaangażowanie ekspertów ds. cyberbezpieczeństwa i jednocześnie odciągnięcie ich od takich pomysłów jak przekazanie tych samych danych cyberprzestępcom.

Nie dziwią również bardzo wysokie nagrody proponowane przez Google. Każdej firmie ze świecznika zależy na tym, aby ekspertom nie opłacało się składać ofert cyberprzestępcom – zresztą, poszukiwanie podatności to ciężka, wymagająca ogromnej wiedzy (i pomysłowości praca). Google wychodzi ze zdrowego założenia – jeżeli zapłaci osobom, które znalazły podatności w Androidzie, nie będą one mieć interesu w tym, aby ich wiedzę sprzedawać albo pożytkować w inny sposób. W ten sposób robią również inne firmy, które mają swoje programy bug bounty. Google zajął się również kwestią sklepu Google Play i będzie współpracować w tej kwestii m. in. z firmą ESET.