Google wypłaciło 0,5 mln dolarów za błędy w Androidzie
W czerwcu 2015 roku ruszył program Android Security Rewards, nagradzający hakerów za zgłaszanie luk w systemie na smartfony. Najlepszy z nich zgarnął 300 000 złotych, a w tym roku Google podbiło stawki.
Oferowanie nagród pieniężnych za odnalezienie błędów w oprogramowaniu jest rozpowszechnioną praktyką. Nad aplikacjami i systemami operacyjnymi pracują setki programistów i chociaż testują swój kod z każdej możliwej strony, nowoczesne rozwiązania są tak rozbudowane, że niebezpieczeństwo prześlizgnięcia się poważnego błędu jest dość spore.
Uruchamiając program z nagrodami przedsiębiorstwa pieką dwie pieczenie na jednym ogniu – z jednej strony dowiadują się o lukach w swoim oprogramowaniu i mogą skoncentrować się na ich naprawieniu, z drugiej zaś zapobiegają przedostaniu się takiej informacji w pierwszej kolejności do świata przestępczego, który mógłby wykorzystać istnienie zagrożenia do zaatakowania użytkowników.
Jak się okazuje, czasem znalezienie błędu nie jest wcale takie trudne – przykładem jest 10-latek, który za odnalezienie sposobu na kasowanie dowolnie wybranych komentarzy na Instagramie zainkasował od serwisu 10 000 dolarów.
W ciągu pierwszego roku w ramach Android Security Rewards błędy zgłosiły 82 osoby. Łącznie otrzymały za to 550 tys. dolarów – najbardziej pracowity z hakerów zarobił za wskazanie 26 podatności 75 750 dolarów – czyli niemal 300 000 złotych.
Badacze odnaleźli i zgłosili w ciągu 12 miesięcy ponad 250 błędów w Androidzie, za których ujawnienie Google zdecydowało się zapłacić. Całkowita liczba zgłoszeń była większa. Gigant internetowy podkreśla, że nikomu nie udało się znaleźć najwyżej wycenionej luki, pozwalającej na przedostanie się przez zabezpieczenia systemu i uruchomienie własnego kodu.
Google wspomniało także, że ponad 25% zgłoszonych błędów dotyczyło oprogramowania rozwijanego poza projektem Android – ich naprawienie przyczyniło się nie tylko do ulepszenia mobilnego systemu operacyjnego, ale także zwiększyło bezpieczeństwo użytkowników innych rozwiązań.
Wraz z wejściem w drugi rok programu Google postanowiło dać hakerom podwyżki. Najpoważniejsze błędy (wraz z demonstracjami, jak mogą być użyte) przyniosą odkrywcom nawet 50 000 dolarów za sztukę (do tej pory było 30 000). Mniej poważne luki także będą lepiej nagradzane, a odkrywcy mogą liczyć na dodatkowe bonusy za bardziej rozbudowane zgłoszenia – na przykład dołączenie propozycji łatki ma owocować zwiększeniem wypłaty o 50%.