Milion za lukę w telefonie: Google zapłaci do 1,5 mln dolarów za luki w zabezpieczeniach systemu Android

Wyobraź sobie, że znalazłeś sposób na dyskretne zhakowanie cudzego telefonu. Ale zamiast to wykorzystać, dzwonisz do Google i dostajesz za to milion dolarów. Powiedzisz, że brzmi to jak bajka? A jednak jest to realna możliwość zarobienia takich pieniędzy. 
 

Za co płacą takie pieniądze
 

Niedawno Google ogłosiło, że zapłaci do 1,5 miliona dolarów za wykryte luki w zabezpieczeniach systemu operacyjnego Android i przeglądarki Chrome.

1,5 miliona dolarów trafi do tego, kto włamie się do telefonu Pixel niezauważalnie (bez żadnej interwencji ze strony właściciela) i jednocześnie zachowa stały dostęp do niego. Jeśli dojdzie do włamania, ale dostęp nie zostanie zachowany – haker otrzyma do 750 000 dolarów. Za kradzież danych osobowych z zabezpieczonej pamięci urządzenia przewidziano kwotę do 375 000 dolarów.

To rekordowa wypłata za jedną lukę w historii programu Google. Tylko w zeszłym roku firma wypłaciła badaczom łącznie 17,1 miliona dolarów, płacąc o 40% więcej niż rok wcześniej.

Przewidziano również nagrodę za wykryte luki w przeglądarce Chrome. Haker otrzyma do 250 000 dolarów za całkowite przełamanie zabezpieczeń przeglądarki na nowoczesnym urządzeniu. Dodatkowo przewidziano premię – do 250 000 dolarów za obejście mechanizmu zabezpieczającego MiraclePtr (jest to wewnętrzny mechanizm zabezpieczający Chrome, który Google opracowało samodzielnie).
 

 

Po co płacić miliony dolarów zewnętrznym użytkownikom?
 

Odpowiedź jest prosta: jedna firma nie jest w stanie znaleźć i sprawdzić każdej luki. Nawet Google. System Android jest zainstalowany na ponad 3 miliardach telefonów na całym świecie. W związku z tym im więcej niezależnych osób sprawdza system, tym jest on bardziej niezawodny.

Dlatego już w 2010 roku Google uruchomiło program Bug Bounty („polowanie na błędy”). Zasada jest prosta: znalazłeś „dziurę” w oprogramowaniu – zgłosiłeś – otrzymałeś pieniądze. Od momentu powstania programu firma wypłaciła badaczom ponad 81 milionów dolarów.

To opłacalne dla wszystkich. Firma usuwa niebezpieczne luki. Badacz otrzymuje uczciwe wynagrodzenie. A miliardy użytkowników – zabezpieczone telefony.

Kim są ci ludzie? Zazwyczaj są to programiści i specjaliści ds. cyberbezpieczeństwa, nazywani „białymi hakerami”. Nie włamują się do systemów w celu kradzieży lub szpiegowania. Szukają luk w zabezpieczeniach i uczciwie zgłaszają je firmie. 

Udział w programie jest otwarty dla wszystkich chętnych. Potrzebna jest jedynie wiedza techniczna, rejestracja na platformie i, oczywiście, wynik.

Warto też zrozumieć szerszy kontekst. Ataki, które nie wymagają żadnego działania ze strony użytkownika, są uważane za jedne z najniebezpieczniejszych zagrożeń we współczesnym świecie urządzeń mobilnych. To właśnie na nich Google skupia teraz swoje zachęty finansowe.

Dlatego Bug Bounty to nie tylko sposób na zarobek. To okazja, by połączyć siły i pomóc firmom w walce ze szkodnikami. 
 

Chcesz pieniądze? Znajdź lukę samodzielnie
 

Jest jednak ważny szczegół. Google zmieniło nie tylko kwoty, ale i zasady gry. Teraz nie wystarczy po prostu poinformować firmę, że znalazłeś problem. Trzeba udowodnić, że on naprawdę istnieje, i najlepiej od razu zaproponować sposób, jak go naprawić. Raport bez konkretnego dowodu na istnienie problemu nie jest już uznawany za pełnoprawny.

Powód jest oczywisty – sztuczna inteligencja. Ze względu na gwałtowny wzrost liczby narzędzi AI do wyszukiwania luk w zabezpieczeniach do Google trafiają automatycznie generowane zgłoszenia. Teraz firma świadomie skupia się na lukach, które trudno wykryć automatycznie. W związku z tym więcej płaci za te, które wymagają prawdziwego ludzkiego intelektu i umiejętności technicznych.
 

 

Czy Ukraińcy mogą brać udział w tym programie? 
 

Tak. Program Google jest otwarty dla uczestników z całego świata. Ukraińscy specjaliści ds. cyberbezpieczeństwa są od dawna znani na rynku międzynarodowym, a Bug Bounty nie jest dla nich nowością.

Jednak w 2022 roku pojawił się poważny problem z wynagrodzeniami finansowymi. Ukraińscy badacze oświadczyli, że platforma HackerOne zamroziła ich wypłaty. Przyczyną były błędnie nałożone sankcje na Ukrainę, które pierwotnie miały dotyczyć Rosji. Wywołało to falę oburzenia. Ostatecznie HackerOne publicznie przeprosiło i potwierdziło, że wypłaty nie zostaną zablokowane.

Ponadto w naszym kraju rozwija się również własna kultura Bug Bounty. Ministerstwo Cyfryzacji przeprowadziło już kilkakrotnie podobne programy dla aplikacji „Dія”. Podczas jednego z nich 329 specjalistów wyraziło chęć udziału, złożyło dziesiątki wniosków, a czterech otrzymało rzeczywiste wypłaty. Najwyższa kwota wyniosła 750 dolarów za wykrytą lukę.

W 2023 roku Rada Ministrów zatwierdziła oficjalny mechanizm Bug Bounty dla wszystkich państwowych systemów elektronicznych.
 

Jak dołączyć do poszukiwania luk w zabezpieczeniach? 
 

Jeśli posiadasz wiedzę techniczną w zakresie cyberbezpieczeństwa (lub dopiero rozwijasz te umiejętności) – oto od czego warto zacząć:

1. Zapoznaj się z zasadami, listą celów i tabelą wypłat Google Android VRP. Znajdziesz je pod linkiem.
2. Nie zaczynaj samodzielnie. Na platformach HackerOne i Bugcrowd możesz znaleźć osoby o podobnych zainteresowaniach, uczyć się na cudzym doświadczeniu i wspólnie szukać luk w zabezpieczeniach.
3. Ucz się na prawdziwych przykładach. Google regularnie publikuje analizy luk w zabezpieczeniach, za które badacze już otrzymali wynagrodzenie. To bezcenny materiał szkoleniowy.
4. Nie musisz od razu mierzyć w 1,5 miliona dolarów. Setki badaczy co roku otrzymują od kilkuset do kilku tysięcy dolarów za luki średniego poziomu. To zarówno praktyka, jak i realne zarobki.
    

Czytaj nas na Telegram i Sends