Utvecklare hittade sårbarheter i Android – fick 112 500 USD av Google

Google har belönat en utvecklare med 112 500 USD för två upptäckta sårbarheter i Android. Buggarna kunde användas för att ta kontrollen över Pixel-telefoner, och allt som behövs är en webbadress.

Utvecklaren som hittade sårbarheterna heter Guang Gong och han arbetar för kinesiska säkerhetsfirman Qihoo 360 Technology. Direkt när han gjorde sina upptäckter kontaktades Google som gav sårbarheterna de kryptiska namnen CVE-2017-5116 och CVE-2017-14904.

Båda upptäcktes tidigare i augusti 2017. Den förstnämnda sårbarheten gör att kod från tredjepart kan exekveras via HTML-kod inuti webbläsaren Chromes sandboxmiljö. Den andra gör att koden inte behöver stanna inom den miljön.

Om sårbarheterna används tillsammans kan hackare injicera skadlig kod direkt i Android System Server. När det sker får hackaren tillgång till i princip allt. Det är alltså godnatt.

Sårbarheterna fixades redan i december förra året

Som ovan nämnt upptäcktes sårbarheterna i augusti. Google skickade ut buggfixar till Android för båda i december 2017. Företaget valde att lägga locket på om det hela tills de säkerställt att buggfixarna skickats ut till så många berörda som möjligt.

Guang Gong fick 105 000 USD från Android Security Reward (ASR) och 7 500 USD från Chrome Reward Program.

Det här är inte första gången som han hittat sårbarheter i Googles produkter. Under hacking-evenemanget Pwn2Own i Japan lyckades Guang Gong och hans firma Qihoo 360 Technology hacka Pixel-telefonerna på under minuten.

Totalt vann firman priser på 520 000 USD under en och samma tävling. Google blev tunnare i plånboken men kunde laga fler riktigt allvarliga sårbarheter.