Lani je Googlov program nagrad za hrošče raziskovalcem, ki so odkrili varnostne pomanjkljivosti v njegovih izdelkih in storitvah, podelil najmanj 12 milijonov dolarjev. Ta številka je znatno višja od 8,7 milijona dolarjev, izplačanih leta 2021, in naj bi se v prihodnjih letih povečala. Podjetje zdaj širi svoja prizadevanja za varnostne raziskave z novim programom, ki cilja na aplikacije tretjih oseb za Android.
V začetku tega meseca je Google posodobil program nagrade za ranljivost v Android in Googlovih naprav (VRP), ki uvaja nov sistem za ocenjevanje kakovosti poročil o hroščih in zvišuje najvišjo nagrado za iskanje kritičnih ranljivosti na 15 $.V podjetju so takrat pojasnili, da bo to olajšalo odpravljanje varnostnih napak v telefonih pixel, napravah Google Nest in Fitbit ter v operacijskem sistemu Android bolj pravočasno.
Ta teden je podjetje uvedlo program nagrajevanja ranljivosti mobilnih naprav (Mobile VRP), ki je namenjen raziskovalcem, ki jih zanima raziskovanje varnosti aplikacij za Android, ki ga je razvil Google ali druga podjetja, ki pripadajo skupini Alphabet.
Nova aplikacija razvršča aplikacije tretjih oseb za Android na treh nivojih. Prva raven vključuje najpomembnejše aplikacije, kot je Google Play Services, Google Chrome, Gmail, oddaljeno namizje Chrome, Google Cloud in AGSA (pripomoček Google Search v Android). Druga in tretja raven vključujeta aplikacije, ki jih je razvil Googlov raziskovalni oddelek, Google Samples, Red Hot Labs, Nest Labs, Waymo in Waze.
Kar zadeva vrste varnostnih ranljivosti, ki jih pokriva program Mobile VRP, Google pravi, da ga najbolj zanimajo hrošči, ki omogočajo poljubno izvajanje kode in krajo podatkov, zato bodo varnostni inženirji podjetja tem poročilom dali prednost. Hkrati želi podjetje izvedeti tudi o drugih varnostnih pomanjkljivostih, ki jih je mogoče izkoristiti kot del verig izkoriščanja, vključno z ranljivostmi prečkanja poti ali arhiva zip, osirotelimi dovoljenji in namernimi preusmeritvami, ki jih je mogoče uporabiti za zagon neizvoženih komponente aplikacije.
Nagrada je odvisna od resnosti odkritih ranljivosti in prizadetih aplikacij, Google pa je pripravljen plačati do 30 dolarjev za odkritje ranljivosti, ki napadalcem omogoča izvajanje kode na daljavo brez posredovanja uporabnika. Najvišje nagrade za odkritje resnih ranljivosti v vloge ravni 000 in 2 znašajo 3 $ in 25 $ v skladu. Najnižji znesek za kvalificirano poročilo je 000 USD, Google pa lahko uporabi tudi bonus v višini 20 USD za izjemna poročila.
Googlov program nagrad za odpravljanje hroščev je eden največjih v tehnološki industriji, saj je bilo varnostnim raziskovalcem izplačanih 2022 milijonov dolarjev samo v letu 12. Največja nagrada je 605 dolarjev za strokovnjaka, ki je odkril verigo izkoriščanj iz petih ranljivosti v Android.
Varnostni raziskovalci, ki jih zanima Mobile VRP, lahko tukaj najdejo več podrobnosti tukaj. Google pravi, da morajo biti poročila jedrnata in morajo vsebovati kratek dokaz koncepta, če je to mogoče - nekaj napotkov o tem, kako najbolje predložiti poročila o napakah, lahko najdete tukaj tukaj.
Preberite tudi: