На честь 15-річчя свого браузера Firefox компанія Mozilla вирішила розширити свою програму винагороди дослідників безпеки за виявлені уразливості (bug bounty) і збільшити максимальну суму винагороди в три рази.
Так, відтепер за уразливості віддаленого виконання коду в Firefox або інших менш відомих сервісах Mozilla (VPN, локалізація, інструменти для управління кодом, розпізнавання мови тощо) дослідник може отримати $ 15 тис. за інші уразливості компанія готова заплатити від $ 1 тис. до $ 6 тис.
Рішення потроїти суму винагороди поставило Mozilla в один ряд з іншими технологічними компаніями, у яких також є програми bug bounty, правда, в самий кінець цього ряду. Наприклад, Yahoo! і Snapchat платять дослідникам $ 15 тис. за будь-яку уразливість в своїх сервісах. $ 15 тис. – мінімальна сума винагороди, яку пропонує Microsoft, тоді як максимальна становить $ 300 тис. Також для порівняння, максимальна сума винагороди в рамках bug bounty становить $ 100 тис. у Intel, $ 33 тис. у Dropbox, $ 20 тис. у Twitter і $ 150 тис. у Google за уразливості в ChromeOS.
Свою програму bug bounty також запустила компанія Huawei. Вона готова платити $ 220 тис. за критичні уразливості в своїх Android-пристроях (Mate, P, Nova, Y9 і Honor) і $ 110 тис. за небезпечні уразливості. До слова, за ці ж уразливості Google пропонує менші суми – $ 200 тис. і $ 100 тис. відповідно.
Найвища винагорода пропонує компанія Apple, в нинішньому році збільшила суму з $ 200 тис. До $ 1 млн.
До речі, команда дослідників із безпеки виявила критичні уразливості в стандарті мобільного зв’язку п’ятого покоління (5G), експлуатація яких дозволила здійснити кілька атак, таких як відстеження розташування, передача помилкових аварійних оповіщень і повне відключення 5G-з’єднання телефону від мережі.
Зверніть увагу, що в Huawei вирішили прискорити темпи розробки HarmonyOS, версія для смартфонів офіційно запуститься протягом найближчих 6-9 місяців.
Також Міністерство оборони США звинуватило кіберзлочинців, які працюють на уряд Північної Кореї, в кібератаках на фінансовий сектор, в тому числі на мережу SWIFT, з метою збагачення.
Стало відомо, що Microsoft працює над реалізацією в майбутніх випусках Windows 10 протоколу “DNS поверх HTTPS” (DNS over HTTPS, DoH). При цьому також буде доступний протокол “DNS поверх TLS” (DNS over TLS, DoT).
Під час дослідження безпеки камер в пристроях Google Pixel 2 XL і Pixel 3 команда фахівців Checkmarx виявила уразливості в додатку “Камера” від Google, що дозволяє їм керувати деякими функціями, не отримавши відповідного дозволу.
