Как известно, на недавно прошедшем соревновании хакеров Pwnium так и не нашлось специалиста, который бы смог взломать компьютер Samsung Series 5 550 на базе Chrome OS.
За предоставление информации о потенциальной уязвимости этой платформы Google предлагала 3,1 млн. долл., правда, этот весомый призовой фонд был разделен на несколько категорий.
Несмотря на то, что в рамках соревнования Pwnium никому из участников не удалось продемонстрировать взлом Chrome OS, компания Google решила выплатить поощрительный приз в размере 40 тыс. долл. создателю не доведенного до рабочего состояния эксплойта — программы, эксплуатирующей уязвимость. Участник под псевдонимом “Pinkie Pie” описал возможную цепочку проведения атаки, охватывающую две уязвимости: переполнение в процессе выполнение операций на стороне GPU и выход за границы буфера в drm-драйвере i915 из состава ядра Linux. Кроме того, для потенциальной атаки была задействована ошибка в одном из файлов конфигурации.
Компания Google признала, что эта информация заслуживает награды, т. к. позволила оперативно начать работу над устранением этих уязвимостей. Крис Эванс, инженер из команды Google, занимающейся защитой Chrome OS, оценил, что к следующему соревнованию Pwnium хакер мог подготовить рабочий эксплойт, претендующий на премию в 150 тыс. долл., но не стал этого делать, что и послужило причиной для выплаты поощрительного приза. Найденные Pinkie Pie проблемы безопасности в Chrome OS уже исправлены в обновлении 25.0.1364.173 от 15 марта.
У Pinkie Pie большой опыт по взлому продуктов Google. В прошлом году он заработал 120 тыс. долл. во время двух мероприятий Pwniun, обнаружив несколько уязвимостей в браузере Google Chrome. Кстати, Google поощряет за любую присланную ей ошибку, найденную в Chrome, Gmail, Google Maps, youtube.com, google.com или другом продукте компании даже вне рамок хакерских конкурсов. За каждую такую ошибку могут выплатить до 20 тыс. долл.