Google повысила награду за эксплойт критической уязвимости в Android до $1,5 млн

Google объявила о расширении программы вознаграждения за выявление уязвимостей в Android, Chrome и компонентах, которые лежат в их основе. Максимальные суммы выплат выросли, в дополнение к этого, появились новые категории премий.

Крупнейшее вознаграждение предлагается за уязвимости в Android. За разработка эксплойта, который позволяет выполнить исходник на уровне чипа Pixel Titan M2 без участия пользователя (эксплойт zero-click), можно получить от $750 тыс. до $1,5 млн. Равным образом появились новые премии: до $375 тыс. за извлечение конфиденциальных данных и до $150 тыс. за программный обход экрана блокировки.

Максимальная выплата за критический эксплойт в Chrome выросла до $250 тыс. Сообщается об уязвимости, которая позволяет при открытии страницы обойти механизмы изоляции браузера и выполнить произвольный код. За атаку на защищённые операции с памятью, реализованные через алгоритм MiraclePtr, предусмотрен дополнительный бонус до $250 тыс.

Кроме того, для Chrome действуют более мелкие выплаты:

• до $10 тыс. за обход межсайтовой изоляции и использование XSS-уязвимости;

• до $5 тыс. за проблемы с хранилищем, процессом отрисовки, утечки данных и подмену URL,

• от $500 до $7,5 тыс. за другие типы уязвимостей.

Для Chrome OS предусмотрены отдельные награды, сумма которых достигает $30 тыс. Ещё $10 тыс. можно получить за предложенное исправление.