Google объявила о выплате 112 500 $ за обнаружение уязвимостей в Android

В 2017 году Google выплатила рекордную сумму в размере 112 500 долларов исследователю уязвимостей из Китая. Он опубликовал первую рабочую систему удалённых эксплойтов для Android (Google увеличила размер вознаграждения за обнаружение уязвимостей).

Гуан Гун, исследователь уязвимостей и работник китайской компании Qihoo 360 Technology, предоставил отчёт об ошибках в августе 2017 года. Сами баги CVE-2017-5116 и CVE-2017-14904 были исправлены в декабре прошедшего года, а на этой неделе Google объявила о выплате вознаграждения.

Эксплойты обнаружились в Pixel, флагманском смартфоне, который Google позиционирует как самое безопасное устройство на Android.

Подробнее об уязвимостях

Уязвимость CVE-2017-5116 позволяла злоумышленнику выполнять произвольный код через HTML внутри песочницы мобильного браузера Chrome. CVE-2017-14904 — уязвимость, позволявшая злоумышленникам выйти из песочницы Chrome. Вместе эти баги позволяли хакерам удалённо вводить произвольный код в процесс system_server на устройствах Pixel во время перехода на вредоносные URL-адреса в Chrome.