Минатата година, програмата за баунти на Google додели најмалку 12 милиони долари на истражувачи кои открија безбедносни пропусти во неговите производи и услуги. Оваа бројка е значително повисока од исплатените 8,7 милиони долари во 2021 година и се очекува да расте во наредните години. Компанијата сега ги проширува своите напори за безбедносно истражување со нова програма која цели на апликации од трети страни Android.
На почетокот на овој месец, Google ја ажурираше програмата за распродажба за ранливост Android и Google уреди (VRP), воведувајќи нов систем за оценување на квалитетот на извештаите за грешки и зголемување на максималната награда за наоѓање критични пропусти на 15 долари. Компанијата тогаш објасни дека тоа ќе го олесни поправањето на безбедносните пропусти на телефоните Пиксели, уредите Google Nest и Fitbit, како и во оперативниот систем Android понавремено.
Оваа недела, компанијата ја лансираше Програмата за награди за ранливост на мобилни телефони (Mobile VRP), која е насочена кон истражувачи заинтересирани да ја испитаат безбедноста на апликациите за Android, развиен од Google или други компании кои припаѓаат на групата Alphabet.
Новата апликација класифицира апликации од трети страни за Android на три нивоа. Првото ниво ги вклучува најважните апликации, како што е Google Play Services, Google Chrome, Gmail, далечинска работна површина на Chrome, Google Cloud и AGSA (виџетот за пребарување на Google во Android). Второто и третото ниво вклучуваат апликации развиени од одделот за истражување на Google, Google Samples, Red Hot Labs, Nest Labs, Waymo и Waze.
Што се однесува до видовите безбедносни пропусти опфатени со програмата Mobile VRP, Google вели дека е најзаинтересиран за грешки кои овозможуваат произволно извршување на код и кражба на податоци, па безбедносните инженери на компанијата ќе им дадат приоритет на тие извештаи. Во исто време, компанијата бара да дознае и за други безбедносни пропусти што може да се искористат како дел од синџирите на експлоатација, вклучително и ранливости на преминување на патеки или архиви на зип, дозволи за сирачиња и намерни пренасочувања што може да се користат за лансирање на неизвезени компоненти на апликацијата.
Наградата зависи од сериозноста на откриените пропусти и погодените апликации, а Google е подготвен да плати до 30 долари за откривање на пропусти што им овозможуваат на напаѓачите да извршат далечински код без интервенција на корисникот. Највисоки награди за откривање сериозни пропусти на ниво 000 а 2 апликации се 3 и 25 долари во согласност. Минималниот износ за квалификуван извештај е 000 долари, но Google може да примени и бонус од 20 долари за исклучителни извештаи.
Наградната програма на Google за поправање грешки е една од најголемите во технолошката индустрија, со 2022 милиони долари исплатени на безбедносните истражувачи само во 12 година. Најголемата награда е 605 долари за експерт кој открил синџир на експлоатирања од пет пропусти во Android.
Истражувачите за безбедност заинтересирани за Mobile VRP можат да најдат повеќе детали овде тука. Google вели дека извештаите треба да бидат концизни и да вклучуваат краток доказ за концептот ако е можно - некои упатства за тоа како најдобро да се поднесуваат извештаи за грешки може да се најдат овде тука.
Прочитајте исто така: