Anul trecut, programul Google de recompense pentru erori a acordat cel puțin 12 milioane de dolari cercetătorilor care au descoperit defecte de securitate în produsele și serviciile sale. Această cifră este semnificativ mai mare decât cele 8,7 milioane de dolari plătite în 2021 și este de așteptat să crească în următorii ani. Compania își extinde acum eforturile de cercetare în domeniul securității cu un nou program care vizează aplicațiile de la terți Android.
La începutul acestei luni, Google a actualizat programul Vulnerability Bounty în Android și dispozitive Google (VRP), introducând un nou sistem de evaluare a calității rapoartelor de erori și de creștere a recompensei maxime pentru găsirea vulnerabilităților critice la 15 000 USD.Compania a explicat atunci că acest lucru ar facilita remedierea defectelor de securitate ale telefoanelor. Pixel, dispozitivele Google Nest și Fitbit, precum și în sistemul de operare Android într-o manieră mai oportună.
Săptămâna aceasta, compania a lansat Programul Mobile Vulnerability Rewards (Mobile VRP), care vizează cercetătorii interesați să investigheze securitatea aplicațiilor pentru Android, dezvoltat de Google sau de alte companii aparținând grupului Alphabet.
Noua aplicație clasifică aplicațiile terță parte pentru Android pe trei niveluri. Primul nivel include cele mai importante aplicații, precum Google Play Services, Google Chrome, Gmail, Chrome Remote Desktop, Google Cloud și AGSA (widgetul Căutare Google în Android). Al doilea și al treilea nivel includ aplicații dezvoltate de divizia de cercetare Google, Google Samples, Red Hot Labs, Nest Labs, Waymo și Waze.
În ceea ce privește tipurile de vulnerabilități de securitate acoperite de programul Mobile VRP, Google spune că este cel mai interesat de bug-urile care permit executarea arbitrară a codului și furtul de date, așa că inginerii de securitate ai companiei vor prioritiza acele rapoarte. În același timp, compania caută, de asemenea, să învețe despre alte defecte de securitate care pot fi exploatate ca parte a lanțurilor de exploatare, inclusiv vulnerabilități de traversare a căilor sau de traversare a arhivei zip, permisiuni orfane și redirecționări deliberate care pot fi folosite pentru a lansa neexportate. componentele aplicației.
Recompensa depinde de gravitatea vulnerabilităților descoperite și a aplicațiilor afectate, iar Google este dispus să plătească până la 30 USD pentru descoperirea vulnerabilităților care permit atacatorilor să execute cod de la distanță fără intervenția utilizatorului. Cele mai mari recompense pentru descoperirea unor vulnerabilități grave în Aplicațiile de nivel 000 și 2 sunt în conformitate cu 3 USD și 25 USD. Suma minimă pentru un raport calificat este de 000 USD, dar Google poate aplica și un bonus de 20 USD pentru rapoarte excepționale.
Programul de recompense pentru remedierea erorilor de la Google este unul dintre cele mai mari din industria tehnologiei, cu 2022 milioane de dolari plătiți cercetătorilor în domeniul securității numai în 12. Cea mai mare recompensă este de 605 de dolari pentru un expert care a descoperit un lanț de exploit-uri din cinci vulnerabilități în Android.
Cercetătorii de securitate interesați de Mobile VRP pot găsi mai multe detalii aici aici. Google spune că rapoartele ar trebui să fie concise și să includă o scurtă dovadă a conceptului, dacă este posibil - câteva îndrumări despre cum să trimiteți cel mai bine rapoarte de eroare pot fi găsite aici aici.
Citeste si:
- Samsung a decis să părăsească Google ca motor de căutare implicit
- 2GIS a fost eliminat de pe Google Play