Миллион за уязвимость в телефоне: Google будет выплачивать до 1,5 млн долларов за уязвимости в Android
11 Мая 2026 12:30Представьте, что вы нашли способ незаметно взломать чужой телефон. Но вместо того, чтобы воспользоваться этим, вы звоните в Google и за это получаете миллион долларов. Скажете, что это звучит как сказка? Однако это реальная возможность заработать такие деньги.
За что платят такие деньги
Недавно Google объявила, что заплатит до $1,5 миллиона за обнаруженные уязвимости в операционной системе Android и браузере Chrome.
$1,5 миллиона достанется тому, кто взломает телефон Pixel незаметно (без каких-либо действий со стороны владельца) и при этом сохранит постоянный доступ к нему. Если произойдет взлом, но доступ не будет сохранен — хакер получит до $750 000. За похищение личных данных из защищенной памяти устройства предусмотрена сумма до $375 000.
Это рекордная выплата за одну уязвимость в истории программы Google. Только в прошлом году компания выплатила исследователям в общей сложности $17,1 миллиона, заплатив на 40% больше, чем годом ранее.
Также предусмотрено вознаграждение за найденные уязвимости в браузере Chrome. Хакер получит до $250 000 за полный взлом браузера на современном устройстве. Дополнительно предусмотрен бонус – до $250 тыс. за обход защитного механизма MiraclePtr (это внутренний защитный механизм Chrome, который Google разработала самостоятельно).
Зачем платить миллионы долларов сторонним пользователям?
Ответ прост: одна компания не может найти и проверить каждую брешь. Даже Google. Android установлен на более чем 3 миллиардах телефонов по всему миру. Соответственно, чем больше независимых глаз проверяют систему, тем она надежнее.
Поэтому еще в 2010 году Google запустила программу Bug Bounty («охота за ошибками»). Принцип прост: нашел «дыру» в программном обеспечении — сообщил — получил деньги. За все время существования программы компания выплатила исследователям более $81 миллиона.
Это выгодно всем. Компания устраняет опасные уязвимости. Исследователь получает честный заработок. А миллиарды пользователей — защищенные телефоны.
Кто эти люди? Обычно программисты и специалисты по кибербезопасности, которых называют «белыми хакерами». Они не взламывают системы ради кражи или шпионажа. Они ищут уязвимости и честно сообщают о них компании.
Участие в программе открыто для всех желающих. Нужны только технические знания, регистрация на платформе и, конечно, результат.
Есть и более широкий контекст, который стоит понимать. Атаки, не требующие никаких действий от пользователя, считаются одними из самых опасных угроз в современном мобильном мире. Именно на них теперь сосредоточены финансовые стимулы Google.
Поэтому Bug Bounty — это не просто способ заработать. Это возможность объединиться и помогать компаниям противостоять вредоносным программам.
Хочешь деньги? Найди уязвимость самостоятельно
Но есть и важная деталь. Google изменила не только суммы, но и правила игры. Теперь недостаточно просто сообщить компании о том, что вы нашли проблему. Нужно доказать, что она реально существует, и желательно сразу предложить способ, как ее исправить. Отчет без конкретного доказательства существования проблемы больше не считается полноценным.
Причина понятна — искусственный интеллект. Из-за стремительного роста количества ИИ-инструментов для поиска уязвимостей в Google отправляют автоматически сгенерированные отчеты. Теперь компания сознательно фокусируется на уязвимостях, которые сложно обнаружить автоматически. Соответственно, больше платит за те, которые требуют настоящего человеческого интеллекта и технического мастерства.
Могут ли украинцы участвовать в этой программе?
Да. Программа Google открыта для участников со всего мира. Украинские специалисты по кибербезопасности давно известны на международном рынке, и Bug Bounty для них не новое явление.
Впрочем, в 2022 году возникла серьезная проблема с финансовыми вознаграждениями. Украинские исследователи заявили, что платформа HackerOne заморозила их выплаты. Причиной стали ошибочно введенные санкционные ограничения в отношении Украины, которые изначально были введены против РФ. Это вызвало волну возмущения. В итоге HackerOne публично извинилась и подтвердила, что выплаты не будут блокироваться.
Кроме того, в нашей стране развивается и собственная Bug Bounty-культура. Минцифра уже несколько раз проводила подобные программы для приложения «Дія». Во время одной из них 329 специалистов захотели принять участие, подали десятки заявок и четверо получили реальные выплаты. Наибольшая сумма составила 750$ за найденную уязвимость.
А в 2023 году Кабинет Министров утвердил официальный механизм Bug Bounty для всех государственных электронных систем.
Как присоединиться к поиску уязвимостей?
Если у вас есть технические знания в сфере кибербезопасности (или вы только развиваете эти навыки) — вот с чего стоит начать:
- Ознакомьтесь с правилами, перечнем целей и таблицей выплат Google Android VRP. Они размещены по ссылке.
- Не начинайте в одиночку. На платформах HackerOne и Bugcrowd можно найти единомышленников, учиться на чужом опыте и вместе искать уязвимости.
- Учитесь на реальных примерах. Google регулярно публикует разборы уязвимостей, за которые исследователи уже получили деньги. Это бесценный учебный материал.
- Не обязательно сразу ставить целью $1,5 миллиона. Сотни исследователей ежегодно получают от нескольких сотен до нескольких тысяч долларов за уязвимости среднего уровня. Это и практика, и реальный заработок.
