Spoločnosť Google prišla pred časom so skutočne zaujímavým programom, ktorý odmení nahlásenie bezpečnostnej chyby v jeho systémoch. Odmena za nahlásenie chýb sa postupom času zvýšila na veľmi lákavú sumu, ktorú by zrejme nikto neodmietol. Guang Gong teraz vďaka tomuto programu dostal od Googlu finančnú odmenu v ohromnej výške.

Alza čelila masívnemu DDoS útoku, vypadol web aj aplikácia. Vieme, čo sa presne stalo

Android kraľuje, ani pätina Slovákov nepoužíva iOS. Šokujú hlavne čísla aktívnych ľudí s archaickým systémom

Hacker získal dáta podporovateľov Trumpa z Parler. Vytvoril z nich mapu útoku vo Washingtone

Všetko začalo odhalením bezpečnostnej chyby, kvôli ktorej by v systéme Android mohol útočník spustiť akýkoľvek škodlivý kód. Guang Gong neodhalil len jediný malý problém v kóde, ale hneď dve riziká, ktorých kombinácia by mohla viesť k veľkej zraniteľnosti zariadení s týmto operačným systémom. Obe chyby Google zverejnil a popísal na svojom blogu.

Štedrá odmena od Googlu

Prvá z chýb, označená ako CVE-2017-5116, umožňovala útočníkovi spustiť zo sandboxu prehliadača Chrome škodlivý kód. Všetko sa pritom mohlo odohrať na diaľku. Aj keď je sandbox tohto známeho prehliadača relatívne bezpečný, tak predsa v ňom Guang Gong objavil problém, s ktorým bolo možné extrahovať škodlivý kód. Kombináciou prvého a druhého problému s kódovým označením CVE-2017-14904, tak mohol útočník zneužiť zraniteľnosť, ktorá by mohla používateľovi značne uškodiť. Pre napadnutie systému pritom stačilo, aby majiteľ smartfónu či tabletu s Androidom otvoril infikovanú webovú stránku prostredníctvom Chromu od Googlu.

Nenechaj si ujsť
Tento vírus je momentálne najväčšou hrozbou Androidu

Za odhalenie tejto závažnej bezpečnostnej „diery“ získal Guang Gong finančnú odmenu z programu Android Security Rewards vo výške 112 500 dolárov. Táto suma však pozostáva z dvoch odmien. Hodnota 105 000 dolárov bola tomuto čínskemu bezpečnostnému expertovi vyplatená za objavenie chyby v Androide. Zvyšných 7 500 dolárov získal za odhalenie zraniteľnosti prehliadača Chrome. Celkovo mu tak Google vyplatil doposiaľ najväčšiu odmenu, akú kedy niekto v jeho programe ASR získal.

Bezpečnostnú záplatu nedostanú všetky zariadenia

Samozrejme, spoločnosť už tieto problémy odstránila v minuloročnej decembrovej aktualizácii. Zariadenia s úrovňou zabezpečenia Androidu z 5. decembra 2017 sú tak pred hrozbami chránené. Smartfóny Google Pixel aktualizácie inštalujú automaticky. Ostatným používateľom so starším bezpečnostným balíkom Androidu tak zrejme neostáva nič iné, iba sa vyvarovať podozrivým webom, ktoré by mohli daný problém spôsobiť.

Aktualizovanie smartfónov a tabletov totiž závisí od samotných výrobcov. Práve tento spôsob aktualizovania je však „Achillovou pätou“ miliónov zariadení, ktoré nikdy nedostanú najnovší bezpečnostný balík. Google ale napriek tomu ide príkladom a snaží sa eliminovať čo najviac nedostatkov systému Android. Za ich odhalenie neváha šikovných bezpečnostných expertov štedro odmeniť.