Tavaly a Google hibajavító programja legalább 12 millió dollárt juttatott azoknak a kutatóknak, akik biztonsági hibákat fedeztek fel termékeiben és szolgáltatásaiban. Ez a szám jelentősen meghaladja a 8,7-ben kifizetett 2021 millió dollárt, és a következő években várhatóan növekedni fog. A vállalat most egy új programmal bővíti biztonsági kutatási tevékenységét, amely harmadik féltől származó alkalmazásokra irányul Android.
A hónap elején a Google frissítette a Vulnerability Bounty Programot Android és a Google eszközök (VRP) új rendszert vezetnek be a hibajelentések minőségének értékelésére, és 15 000 dollárra emelik a kritikus sebezhetőségek feltárásáért járó maximális jutalmat. A cég akkor kifejtette, hogy ez megkönnyíti a telefonok biztonsági hibáinak kijavítását pixel, Google Nest és Fitbit eszközökön, valamint az operációs rendszerben Android időszerűbben.
Ezen a héten a vállalat elindította a Mobile Vulnerability Rewards Programot (Mobile VRP), amely az alkalmazások biztonságának vizsgálata iránt érdeklődő kutatókat célozza meg. Android, amelyet a Google vagy az Alphabet csoporthoz tartozó más cégek fejlesztettek ki.
Az új alkalmazás a harmadik féltől származó alkalmazásokat a következőhöz sorolja be Android három szinten. Az első szint a legfontosabb alkalmazásokat tartalmazza, mint például a Google Play Services, Google Chrome, Gmail, Chrome Remote Desktop, Google Cloud és AGSA (a Google Search widget Android). A második és harmadik szintbe a Google kutatási részlege, a Google Samples, a Red Hot Labs, a Nest Labs, a Waymo és a Waze által fejlesztett alkalmazások tartoznak.
Ami a Mobile VRP program által lefedett biztonsági réstípusokat illeti, a Google azt állítja, hogy leginkább az önkényes kódfuttatást és adatlopást lehetővé tevő hibák érdeklik, ezért a cég biztonsági mérnökei ezeket a jelentéseket helyezik előtérbe. Ugyanakkor a vállalat további biztonsági hibákat is szeretne megismerni, amelyek kihasználhatók a kihasználási láncok részeként, ideértve az útvonal bejárását vagy a zip archívum bejárási sebezhetőségeit, az árva engedélyeket és a szándékos átirányításokat, amelyekkel nem exportálhatók. alkalmazás összetevői.
A jutalom a felfedezett sebezhetőségek súlyosságától és az érintett alkalmazásoktól függ, és a Google akár 30 000 dollárt is hajlandó fizetni olyan biztonsági rések felfedezéséért, amelyek lehetővé teszik a támadók számára, hogy felhasználói beavatkozás nélkül távoli kódot hajtsanak végre. A legmagasabb jutalom a súlyos sérülékenységek felfedezéséért A 2. és 3. szintű alkalmazások ára 25 000 és 20 000 dollár. A minősített jelentés minimális összege 500 USD, de a Google 1 USD bónuszt is alkalmazhat a kivételes jelentésekért.
A Google hibajavító jutalomprogramja az egyik legnagyobb a technológiai iparban, csak 2022-ben 12 millió dollárt fizettek ki a biztonsági kutatóknak. A legnagyobb jutalom 605 000 dollár annak a szakértőnek, aki felfedezte öt sérülékenységből származó kihasználások láncolatát. Android.
A Mobile VRP iránt érdeklődő biztonsági kutatók itt találhatnak további részleteket itt. A Google szerint a jelentéseknek tömörnek kell lenniük, és lehetőség szerint röviden kell bemutatniuk a koncepciót – itt talál néhány útmutatást a hibajelentések legmegfelelőbb benyújtásához. itt.
Olvassa el még:
- Samsung úgy döntött, hogy a Google-t hagyja alapértelmezett keresőként
- A 2GIS eltávolítva a Google Playről