Sau gần 3 năm triển khai chương trình Android Security Rewards (ASR), giờ đây Google đã lần đầu tiên trao phần thưởng lớn nhất dành cho một nhà nghiên cứu lỗ hổng Android.
Cuối cùng đã có người ẵm giải thưởng lớn nhất từ chương trình ASR của Google. ẢNH: REUTERS
Theo Neowin, chương trình ASR được Google tạo ra vào năm 2015 để thưởng cho các nhà nghiên cứu gửi lỗ hổng bảo mật Android cho công ty. Giá trị phần thưởng dựa trên mức độ nghiêm trọng của từng phát hiện, điều này phải liên quan đến phiên bản Android mới nhất hiện có trên điện thoại và máy tính bảng Pixel.
Vào tháng 6.2017, chương trình đã được tăng giá trị phần thưởng vì theo Google, mọi phiên bản Android đều cần được bảo vệ hơn nữa và không nhà nghiên cứu nào nhận được phần thưởng giá trị lớn trong suốt 2 năm ASR xuất hiện.
Nhưng vào cuối tuần qua, công ty đã công bố trao phần thưởng lớn đầu tiên kể từ ngày ASR xuất hiện sau khi một nhà nghiên cứu an ninh phát hiện ra một chuỗi bảo mật trong Android được đánh giá là nguy hiểm.
Tiền thưởng trị giá 112.500 USD được Google công bố trong một bài đăng trên blog công ty và trao cho Guang Gong – một nhà nghiên cứu Trung Quốc làm việc tại hãng bảo mật Qihoo 360 của Trung Quốc. Phần thưởng trao cho Gong sau khi ông phát hiện ra hai lỗ hổng Android trong tháng 8.2017, bao gồm CVE-2017-5116 cho phép thực thi mã từ xa một cách tùy tiện thông qua HTML trong sandbox của Chrome và CVE-2017-14904 cho phép thoát khỏi sandbox của Chrome.
Kết hợp những lỗ hổng này cho phép tin tặc chèn lệnh từ xa vào quá trình xử lý hệ thống của Pixel. Thậm chí còn tệ hại hơn nữa khi kẻ tấn công chỉ cần người dùng truy cập vào URL được tạo ra một cách độc hại thông qua Chrome để thực hiện cuộc tấn công.
Dĩ nhiên Google chỉ công bố chi tiết về cả hai lỗ hổng sau khi vá chúng trong bản cập nhật bảo mật tháng 12 năm ngoái.
Thành Luân
Theo Thanhnien
0 comments:
Post a Comment