Η Google ανακοίνωσε την επέκταση του προγράμματος αμοιβής της για ευπάθειες στην πλατφόρμα Android, το πρόγραμμα περιήγησης Chrome και τα υποκείμενα στοιχεία. Η μέγιστη αμοιβή για τη δημιουργία ενός exploit Android που επιτρέπει την εκτέλεση κώδικα στο επίπεδο του τσιπ Pixel Titan M2 χωρίς αλληλεπίδραση χρήστη (zero-click exploit) ορίζεται σε 1.5 εκατομμύριο δολάρια εάν ο εισβολέας καταφέρει να αποκτήσει πρόσβαση στο σύστημα και 750 δολάρια για επιθέσεις που δεν καθιερώνουν μόνιμο έλεγχο του συστήματος. Έχουν οριστεί πρόσθετα αμοιβή για την εξαγωγή προστατευμένων εμπιστευτικών δεδομένων (έως 375 δολάρια) και την παράκαμψη οθόνης κλειδώματος που βασίζεται σε λογισμικό (έως 150 δολάρια).
Η μέγιστη ανταμοιβή για τη δημιουργία ενός exploit στο Chrome που επιτρέπει το άνοιγμα μιας ιστοσελίδας, παρακάμπτοντας όλα τα επίπεδα απομόνωσης του προγράμματος περιήγησης και εκτελώντας κώδικα στο σύστημα, έχει αυξηθεί στα 250 δολάρια. Ένα επιπλέον μπόνους 250 δολαρίων (250128 δολάρια) είναι διαθέσιμο εάν το exploit επηρεάσει λειτουργίες μνήμης που προστατεύονται από τον μηχανισμό MiraclePtr. Το MiraclePtr παρέχει ένα περιτύλιγμα δείκτη που εκτελεί πρόσθετους ελέγχους και παρουσιάζει σφάλματα εάν ανιχνεύσει πρόσβαση σε ελευθερωμένες περιοχές μνήμης.
Επιπλέον, το Chrome προσφέρει αμοιβές έως και 10000 $ για την παράκαμψη της απομόνωσης μεταξύ ιστότοπων ή του ελέγχου πρόσβασης JavaScript (XSS), έως και 5000 $ για την παράκαμψη περιορισμών αποθήκευσης, την εκμετάλλευση της διαδικασίας απόδοσης, την εξαγωγή πληροφοριών χρήστη και την πλαστογράφηση URL στη γραμμή διευθύνσεων και μεταξύ 500 και 7500 $ για άλλους τύπους ευπαθειών. Για ευπάθειες ειδικά για το Chrome OS, ορίζονται αμοιβές έως και 30000 $, συν 10 $ για την ανάπτυξη μιας ενημέρωσης κώδικα.
Πηγή: opennet.ru
