Миналата година програмата на Google за награди за грешки награди най-малко 12 милиона долара на изследователи, които са открили пропуски в сигурността на нейните продукти и услуги. Тази цифра е значително по-висока от 8,7 милиона долара, изплатени през 2021 г., и се очаква да нарасне през следващите години. Сега компанията разширява усилията си за изследване на сигурността с нова програма, която е насочена към приложения на трети страни за Android.
По-рано този месец Google актуализира програмата за награда за уязвимост в Android и устройства на Google (VRP), въвеждайки нова система за оценка на качеството на докладите за грешки и увеличавайки максималната награда за намиране на критични уязвимости до $15 000. Компанията обясни тогава, че това ще улесни отстраняването на пропуски в сигурността на телефоните Pixel, устройства Google Nest и Fitbit, както и в операционната система Android по-навременно.
Тази седмица компанията стартира програмата за награди за уязвимост на мобилни устройства (Mobile VRP), която е насочена към изследователи, които се интересуват от проучване на сигурността на приложенията за Android, разработен от Google или други компании, принадлежащи към групата Alphabet.
Новото приложение класифицира приложения на трети страни за Android на три нива. Първото ниво включва най-важните приложения, като Google Play Services, Google Chrome, Gmail, Chrome Remote Desktop, Google Cloud и AGSA (джаджата Google Търсене в Android). Второто и третото ниво включват приложения, разработени от изследователския отдел на Google, Google Samples, Red Hot Labs, Nest Labs, Waymo и Waze.
Що се отнася до видовете уязвимости в сигурността, обхванати от програмата Mobile VRP, Google казва, че се интересува най-много от грешки, които позволяват произволно изпълнение на код и кражба на данни, така че инженерите по сигурността на компанията ще дадат приоритет на тези доклади. В същото време компанията също така търси да научи за други пропуски в сигурността, които могат да бъдат експлоатирани като част от вериги за експлоатиране, включително уязвимости при преминаване на пътя или преминаване на zip архив, осиротели разрешения и умишлени пренасочвания, които могат да се използват за стартиране на неекспортирани компоненти на приложението.
Наградата зависи от сериозността на откритите уязвимости и засегнатите приложения и Google е готов да плати до $30 000 за откриването на уязвимости, които позволяват на атакуващите да изпълняват отдалечен код без намеса на потребителя Най-високите награди за откриване на сериозни уязвимости в ниво 2 и 3 приложения са съответно $25 000 и $20 000. Минималната сума за квалифициран доклад е $500, но Google може да приложи и бонус от $1 за изключителни доклади.
Програмата на Google за награди за коригиране на грешки е една от най-големите в технологичната индустрия, с 2022 милиона долара, изплатени на изследователи по сигурността само през 12 г. Най-голямата награда е 605 000 долара за експерт, открил верига от експлойти от пет уязвимости в Android.
Изследователите по сигурността, които се интересуват от Mobile VRP, могат да намерят повече подробности тук тук. Google казва, че докладите трябва да са кратки и да включват кратко доказателство за концепцията, ако е възможно - някои насоки за това как най-добре да изпращате доклади за грешки можете да намерите тук тук.
Прочетете също: