Запущенная в 2015 году, программа Google Android Security Rewards сегодня расширяется новым призом для Pixel с чипом Titan M, а также публикует основные моменты за прошедший год.
Главное нововведение — новый главный приз в размере 1 миллиона долларов за полную цепочку эксплойтов удаленного выполнения кода с сохранением доступа к защищенному элементу Titan M, установленному в Pixel 3, Pixel 3a и Pixel 4. Разработанный Google специализированный чип безопасности корпоративного уровня, представленный в прошлом году, обеспечивает безопасность загрузчика и защищает данные на устройстве.
Аналогично, новая категория эксплойтов, включающая извлечение данных и обход экрана блокировки, предусматривает вознаграждения до 500 000 долларов.
Google также предложит 50% бонус за эксплойты, найденные в предварительных версиях Android для разработчиков, которые обычно выходят в марте и действуют до августа/сентября. В результате, главный приз теперь оценивается в 1,5 миллиона долларов. Приз за чип Pixel Titan M и другие новые вознаграждения вступают в силу сегодня, с полными подробностями здесь.
Оглядываясь на 2019 год, программа выплатила более 1,5 миллиона долларов, при этом 100 участвующих исследователей получили в среднем 3800 долларов за находку. Средний исследователь получил более 15 000 долларов, что на 20% больше, чем в предыдущем году.
Самая высокая выплата в этом году в размере 161 337 долларов включала цепочку эксплойтов удаленного выполнения кода с одним кликом на Pixel 3:
В этом отчете подробно описана первая зарегистрированная цепочка эксплойтов удаленного выполнения кода с одним кликом на устройстве Pixel 3. Гуан Гонг получил 161 337 долларов от программы Android Security Rewards и 40 000 долларов от программы Chrome Rewards, что в общей сложности составило 201 337 долларов. Комбинированное вознаграждение в размере 201 337 долларов также является самым высоким вознаграждением за одну цепочку эксплойтов во всех программах Google VRP. Уязвимости Chrome, использованные в этом отчете, были исправлены в Chrome 77.0.3865.75 и выпущены в сентябре, защитив пользователей от этой цепочки эксплойтов.