Google je spoločnosť, ktorá ocení, keď jej ukážete, že má v kóde chyby. Ocení to až natoľko, že sa odmena môže vyšplhať k desiatkam tisícom vyplatených eur. Taký je prípad mladíka menom Guang Gong, bezpečnostného experta Alpha Team, ktorému sa podarilo objaviť zraniteľnosť smartfónov Pixel.
Google už dávnejšie spustil program Android Security Rewards (ASR), ktorý nálezcov bugov a iných bezpečnostných chýb odmeňuje reálnymi peniazmi. Gong si prilepšil o rekordných 105 000 z programu ASR a o ďalších 7 500 dolárov z programu Chrome Rewards. Celkovo tak v prepočte získal vyše 90 000 eur. Slušné!
V čom spočívali chyby?
Obe chyby umožňovali zneužitie zariadenia na diaľku a ovplyvňujú sandbox Chromu. Ich kombináciu útočník dokázal vložiť škodlivý kód do procesu system_server. To si Google nemohol dovoliť a chybu tak označil za výnimočne dôležitú.
O chybe Google informoval na svojom blogu, kde sa verejne poďakoval bezpečnostnému expertovi za jej nahlásenie. Google chybu okamžite opravil a vydal ako bezpečnostnú aktualizáciu „December 2017“.