 |
 |
Home | | | |
Short News | | | |
Long News | | | |
Long Reads | | | |
Support | | | |
Library |
20 апреля, суббота, 00:00
|
|
Home | | | |
Short News | | | |
Long News | | | |
Long Reads | | | |
Support | | | |
Library |
Китайский ИБ-эксперт получил более $100 000 за обнаружение опасных ошибок безопасности Android.
Специалист из Китая получил самый большой денежный приз в истории программы Android Security Rewards c 2015 года. Ранее компания Google запустила подобные программы и для других своих сервисов, в том числе Google Play и Chrome.
Гуан Гун (Guang Gong), один из ведущих экспертов по кибербезопасности в китайской ИБ-компании Qihoo 360, обнаружил две дыры в системе безопасности Android. Мошенники могли воспользоваться ими для запуска цепи эксплойтов. В зоне особого риска при этом оказались смартфоны линейки Pixel.
Первая уязвимость — ошибка безопасности движка V8 в браузере Chrome (CVE-2017-5116). Киберпреступники могли эксплуатировать эту брешь для выполнения произвольного кода в процессе system_server. Вредоносный код, таким образом, попадал на устройство через зараженный URL.
Вторую брешь (CVE-2017-14904) специалист нашел в библиотеках Gralloc. В блоге разработчиков Android писали, что ее, вероятнее всего, могли использовать для обхода песочницы.
Обеим брешам присвоен высокий уровень серьезности в рамках общей системы оценки уязвимостей.
Гуну удалось заработать $105 000 в рамках программы вознаграждений за брешь, найденную в Android, и еще $7500 в качестве бонуса по программе поиска уязвимостей в Chrome. Таким образом, всего он получил $112 500.
ИБ-специалисты Qihoo 360 не в первый раз находят уязвимости в системе Android. В 2016 году они продемонстрировали атаки с использованием некоторых из них на состязании PwnFest. В ходе соревнований также отличился и Гуан Гун — он получил грант в размере $150 000 от спонсоров мероприятия за взлом смартфона Pixel. Эксперт использовал уязвимость нулевого дня, которую обнаружил ранее.
Летом 2017 года Google сообщила об увеличении награды за обнаружение эксплойтов ядра — теперь она составляет $150 000. Кроме того, в несколько раз выросли суммы вознаграждения за уязвимости выполнения удаленного кода и особо опасные цепи эксплойтов.
 |
нравится | не нравится |  |
Рейтинг: | 0 |
Всего голосов: 0 |
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
| Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |
