Theo Neowin, chương trình ASR được Google tạo ra vào năm 2015 để thưởng cho các nhà nghiên cứu gửi lỗ hổng bảo mật Android cho công ty. Giá trị phần thưởng dựa trên mức độ nghiêm trọng của từng phát hiện, điều này phải liên quan đến phiên bản Android mới nhất hiện có trên điện thoại và máy tính bảng Pixel.
Vào tháng 6.2017, chương trình đã được tăng giá trị phần thưởng vì theo Google, mọi phiên bản Android đều cần được bảo vệ hơn nữa và không nhà nghiên cứu nào nhận được phần thưởng giá trị lớn trong suốt 2 năm ASR xuất hiện.
tin liên quan
Hơn 500.000 người dùng Chrome dính tiện ích mở rộng độc hạiTiền thưởng trị giá 112.500 USD được Google công bố trong một bài đăng trên blog công ty và trao cho Guang Gong - một nhà nghiên cứu Trung Quốc làm việc tại hãng bảo mật Qihoo 360 của Trung Quốc. Phần thưởng trao cho Gong sau khi ông phát hiện ra hai lỗ hổng Android trong tháng 8.2017, bao gồm CVE-2017-5116 cho phép thực thi mã từ xa một cách tùy tiện thông qua HTML trong sandbox của Chrome và CVE-2017-14904 cho phép thoát khỏi sandbox của Chrome.
Kết hợp những lỗ hổng này cho phép tin tặc chèn lệnh từ xa vào quá trình xử lý hệ thống của Pixel. Thậm chí còn tệ hại hơn nữa khi kẻ tấn công chỉ cần người dùng truy cập vào URL được tạo ra một cách độc hại thông qua Chrome để thực hiện cuộc tấn công.
Dĩ nhiên Google chỉ công bố chi tiết về cả hai lỗ hổng sau khi vá chúng trong bản cập nhật bảo mật tháng 12 năm ngoái.
Bình luận (0)