В 2017 году Google выплатила рекордную сумму в размере 112 500 долларов исследователю уязвимостей из Китая. Он опубликовал первую рабочую систему удалённых эксплойтов для Android (Google увеличила размер вознаграждения за обнаружение уязвимостей).
Гуан Гун, исследователь уязвимостей и работник китайской компании Qihoo 360 Technology, предоставил отчёт об ошибках в августе 2017 года. Сами баги CVE-2017-5116и CVE-2017-14904 были исправлены в декабре прошедшего года, а на этой неделе Google объявила о выплате вознаграждения.
Эксплойты обнаружились в Pixel, флагманском смартфоне, который Google позиционирует как самое безопасное устройство на Android.
Подробнее об уязвимостях
Уязвимость CVE-2017-5116 позволяла злоумышленнику выполнять произвольный код через HTML внутри песочницы мобильного браузера Chrome. CVE-2017-14904 — уязвимость, позволявшая злоумышленникам выйти из песочницы Chrome. Вместе эти баги позволяли хакерам удалённо вводить произвольный код в процесс:
system_server
на устройствах Pixel во время перехода на вредоносные URL-адреса в Chrome.