Aa Aa Aa

Мільйон за діру в телефоні: Google платитиме до $1,5 млн за вразливості в Android

Мільйон за діру в телефоні: Google платитиме до $1,5 млн за вразливості в Android

Уявіть, що ви знайшли спосіб непомітно зламати чужий телефон. Але замість того, щоб скористатися цим, ви телефонуєте в Google і за це отримуєте мільйон доларів. Скажете, що звучить як казка? Втім це реальна можливість заробити такі кошти. 

За що платять такі гроші

Нещодавно Google оголосила, що заплатить до $1,5 мільйона за знайдені вразливості в операційній системі Android та браузері Chrome.

$1,5 мільйона дістанеться тому, хто зламає телефон Pixel непомітно (без жодної дії з боку господаря) і при цьому збереже постійний доступ до нього. Якщо станеться злам, але доступ не буде збережено – хакер отримає до $750 000. За викрадення особистих даних із захищеної пам'яті пристрою передбачена сума до $375 000.

Це рекордна виплата за одну вразливість в історії програми Google. Лише минулого року компанія виплатила дослідникам загалом $17,1 мільйона, заплативши на 40% більше, ніж роком раніше.

Також передбачена нагорода за знайдені вразливості в браузері Chrome. Хакер отримає до $250 000 за повний злам браузера на сучасному пристрої. Додатково передбачений бонус – до $250 тис. за обхід захисного механізму MiraclePtr (це внутрішній захисний механізм Chrome, який Google розробила сама).

Навіщо платити мільйони доларів стороннім користувачам?

Відповідь проста: одна компанія не може знайти та перевірити кожну щілину. Навіть Google. Android встановлений на понад 3 мільярди телефонів по всьому світу. Відповідно, чим більше незалежних очей перевіряють систему, тим вона надійніша.

Тому ще у 2010 році Google запустила програму Bug Bounty («полювання за помилками»). Принцип простий: знайшов “діру” у програмному забезпеченні – повідомив – отримав гроші. За весь час існування програми компанія виплатила дослідникам понад $81 мільйон.

Це вигідно всім. Компанія закриває небезпечні вразливості. Дослідник отримує чесний заробіток. А мільярди користувачів – захищені телефони.

Хто ці люди? Зазвичай програмісти та фахівці з кібербезпеки, яких називають «білими хакерами». Вони не зламують системи заради крадіжки чи шпигунства. Вони шукають вразливості і чесно повідомляють про них компанії. 

Участь у програмі відкрита для всіх охочих. Потрібні лише технічні знання, реєстрація на платформі та, звісно, результат.

Є й ширший контекст, який варто розуміти. Атаки, що не вимагають жодної дії від користувача  вважаються одними з найнебезпечніших загроз у сучасному мобільному світі. Саме на них тепер зосереджує фінансові стимули Google.

Тому Bug Bounty – це не просто спосіб заробити. Це можливість об’єднатися та допомагати компаніям протидіяти шкідникам. 

Хочеш гроші? Знайди вразливість самостійно

Але є й важлива деталь. Google змінила не лише суми, а й правила гри. Тепер недостатньо просто повідомити компанію про те, що ви знайшли проблему. Потрібно довести, що вона реально існує, й бажано одразу запропонувати спосіб, як її виправити.  Звіт без конкретного доказу існування проблеми більше не вважається повноцінним.

Причина зрозуміла – штучний інтелект. Через стрімке зростання кількості ШІ-інструментів для пошуку вразливостей до Google відправляють автоматично згенеровані звіти. Тепер компанія свідомо фокусується на вразливостях, які складно виявити автоматично. Відповідно, більше платить за ті, які потребують справжнього людського інтелекту та технічної майстерності.

Чи можуть українці брати участь в цій програмі? 

Так. Програма Google відкрита для учасників з усього світу. Українські фахівці з кібербезпеки давно відомі на міжнародному ринку, й Bug Bounty для них не нове явище.

Втім у 2022 році виникла серйозна проблема з фінансовими винагородами. Українські дослідники заявили, що платформа HackerOne заморозила їхні виплати. Причиною стали помилково введені санкційні обмеження на Україну, які першочергово запроваджувались проти рф. Це викликало хвилю обурення. Зрештою HackerOne публічно вибачилась і підтвердила, що виплати не блокуватимуться.

Крім того, в нашій країні розвивається й власна Bug Bounty-культура. Мінцифра вже кілька разів проводила подібні програми для застосунку «Дія». Під час однієї з них 329 фахівців захотіли взяти участь, подали десятки заявок й четверо отримали реальні виплати. Найбільша сума становила 750$ за знайдену вразливість.

А у 2023 році Кабінет Міністрів затвердив офіційний механізм Bug Bounty для всіх державних електронних систем.
 

Як долучитися до пошуку вразливостей? 

Якщо ви маєте технічні знання у сфері кібербезпеки (або ж лише розвиваєте ці навички) – ось з чого варто почати:

  1. Ознайомтеся з правилами, переліком цілей і таблицею виплат Google Android VRP. Вони розміщені за посиланням.
  2. Не починайте наодинці. На платформах HackerOne та Bugcrowd можна знайти однодумців, вчитися на чужому досвіді і разом шукати вразливості.
  3. Вчіться на реальних прикладах. Google регулярно публікує розбори вразливостей, за які дослідники вже отримали гроші. Це безцінний навчальний матеріал.
  4. Не обов'язково одразу цілити в $1,5 мільйона. Сотні дослідників щороку отримують від кількох сотень до кількох тисяч доларів за вразливості середнього рівня. Це і практика, і реальний заробіток.

Источник: ua.news