Google oferuje około 6 milionów PLN za exploita na swój telefon

Ceny macie zaprezentowane w tym miejscu. Największa pojedyncza wypłata to aż $1 000 000 i dotyczy podatności klasy RCE (remote code execution) dotykającą chip Titan M, używany w googlowym Pixel 3:

This year, with Pixel 3, we’re advancing our investment in secure hardware with Titan M, an enterprise-grade security chip custom built for Pixel 3 to secure your most sensitive on-device data and operating system

Do tego można uzyskać bonus 50% za wskazanie podatności w odpowiedniej wersji Androida:

Exploits chains found on specific developer preview versions of Android are eligible for up to an additional 50% reward bonus.

Warto podkreślić że kwoty powyżej mają charakterystykę „do”. Czyli wypłata zależy od jakości exploitu, wymaganej interakcji ofiary podczas ataku, powtarzalności ataku, itp.

Można też marudzić, że to mało – dajmy na to Zerodium płaci obecnie do ~10 000 000 PLN za exploita na Androida dającego trwałego roota (tj. przeżywającego restart systemu) i niewymagającego interakcji od ofiary (tzw. zero click). Patrząc dodatkowo na różne dokonania Chińczyków, walka o exploity trwa. Co tu dużo mówić – przed badaczami bezpieczeństwa świetlana przyszłość.

–ms