Od roku 2010, Google oplatí ľuďom nájsť bezpečnostné chyby v kóde najväčšej digitálnej platformy.
Odkedy tento systém funguje, spoločnosť zaplatila viac ako 5 miliónov dolárov tým, ktorí si na tento účel našli čas.
pozrieť viac
Toyota oznamuje v Brazílii novú Corollu s NEUVERITEĽNOU cenou; pozri
ÚŽASNÉ: Vedci našli „pravekého“ tučniaka živého v New…
Vyhľadávací gigant nedávno oznámil zvýšenie odmien s platbou maximálne 150 000 dolárov a ďalšie výplaty zdvojnásobia alebo strojnásobia veľkosť.
Doteraz bolo nahlásených 8 500 hlásení a platieb, tzv odmeny za chyby. Platby za tieto expozície dosahujú viac ako 5 miliónov USD.
Program odmeny za zraniteľnosť prehliadača Chrome ponúka zdvojnásobenie odmien za „správy o kvalite“ (od 15 000 do 30 000 $). Ak máte základnú správu, suma sa strojnásobí.
Správa o kvalite by mala mať minimalizovaný testovací prípad, ako aj analýzu, ktorá zohráva úlohu určiť príčinu zlyhania, navrhovanú opravu opravy a ukážku, ktorá upozorní na potenciálnu chybu stať sa.
V prípadoch základného hlásenia musí existovať minimalizovaný test, aby bol problém zneužiteľný.
Laurie Mercer, bezpečnostný inžinier zo spoločnosti HackerOne, informuje o platbách spoločnosti Google a hovorí, že sú veľmi dobre uložené.
„Odmena pre účastníkov, ktorí dokážu kompromitovať Chromebook alebo Chromebox, je jednou z najvyšších odmien na dnešnom trhu,“ povedal.
Dodal, že odoslanie oprávnenej chyby pre túto odmenu "zaručí miesto v prestížnej Sieni slávy Google".
Avšak pri porovnaní s zerodium, spoločnosť zaoberajúca sa digitálnou bezpečnosťou, známa ako najlepší platca výskumníkom, ktorí odhalia nedostatky skôr ako samotné spoločnosti, Google zanecháva niečo na želanie. Spoločnosť zvyčajne vypláca odmenu 500 000 USD, pokiaľ napríklad ponúka vzdialené spustenie kódu a eskaláciu miestnych privilégií proti prehliadaču Chrome.
Na druhej strane, na nelegálnych trhoch sa aukcie uskutočňujú kvôli chybám v systéme spoločnosti, takže sú ponúkané vysoké ceny, niekedy dokonca vyššie ako tu uvádzané odmeny. Tento typ činnosti však zahŕňa riziko, pretože neexistujú žiadne záruky ochrany súkromia a platby. Nehovoriac o tom, že títo výskumníci nemajú možnosť prezentovať svoju prácu na konferenciách.
Výskumník v oblasti bezpečnosti aplikácií Sean Wright má v tejto veci niekoľko výhrad:
"Ak chcete peniaze, predáte ich spoločnosti Zerodium." Ak chcete byť etický, dajte Google vedieť. Ak sa Google nezhoduje so sumami zaplatenými spoločnosťou Zerodium, je nepravdepodobné, že by sa to zmenilo.“
Google tiež dáva odmenu, keď nájde "chyby" v "fuzzeroch". Ide o softvér používaný na testovanie parametrov rôznych aplikácií. Jeho funkcia je založená na procese vkladania neplatných alebo náhodných údajov, aby sa cieľový softvér zrútil alebo unikol pamäť, aby ho mohol zneužiť útočník. Fuzzery sú na Google bežným javom a tí, ktorí nájdu chyby, sú odmenení.
Prostredníctvom spoločnosti Google je možné vytvoriť reťazec využívania a kompromitovať Chromebook v režime hosťa. Okamžité odmeny sú dostupné všade.
Program Google Play Security Bounty zvýšil výplatnú sumu pre výskumníkov vďaka partnerstvu s HackerOne, hackerskou bezpečnostnou platformou. Toto je program, ktorý tiež odmeňuje tých, ktorí nájdu zraniteľné miesta, len tentoraz v populárnych aplikáciách. Hodnota môže dosiahnuť až 20 000 USD.
Pozri tiež:
