Prošle godine, Googleov program nagrađivanja grešaka dodijelio je najmanje 12 miliona dolara istraživačima koji su otkrili sigurnosne propuste u njegovim proizvodima i uslugama. Ova brojka je znatno veća od 8,7 miliona dolara isplaćenih 2021. i očekuje se da će rasti u narednim godinama. Kompanija sada proširuje svoje napore u istraživanju sigurnosti novim programom koji cilja aplikacije trećih strana Android.
Ranije ovog mjeseca, Google je ažurirao Program za nadoknadu ranjivosti Android i Google uređaji (VRP), uvođenjem novog sistema za procjenu kvaliteta izvještaja o greškama i povećanjem maksimalne nagrade za pronalaženje kritičnih ranjivosti na 15 000 USD. Kompanija je tada objasnila da bi to olakšalo ispravljanje sigurnosnih nedostataka u telefonima Pixel, Google Nest i Fitbit uređajima, kao i u operativnom sistemu Android na blagovremeniji način.
Ove sedmice, kompanija je pokrenula Program nagrađivanja mobilnih ranjivosti (Mobile VRP), koji cilja istraživače zainteresovane za istraživanje sigurnosti aplikacija za Android, koju je razvio Google ili druge kompanije koje pripadaju grupi Alphabet.
Nova aplikacija klasifikuje aplikacije trećih strana za Android na tri nivoa. Prvi nivo uključuje najvažnije aplikacije, kao što je Google Play Services, Google Chrome, Gmail, Chrome Remote Desktop, Google Cloud i AGSA (widget Google Search u Android). Drugi i treći nivo uključuju aplikacije koje je razvila Googleova istraživačka divizija, Google Samples, Red Hot Labs, Nest Labs, Waymo i Waze.
Što se tiče vrsta sigurnosnih propusta koje pokriva Mobile VRP program, Google kaže da ga najviše zanimaju greške koje omogućavaju proizvoljno izvršavanje koda i krađu podataka, tako da će sigurnosni inženjeri kompanije dati prioritet tim izvještajima. U isto vrijeme, kompanija također želi saznati više o drugim sigurnosnim nedostacima koji se mogu iskoristiti kao dio lanaca eksploatacije, uključujući ranjivosti pri prelasku putanje ili prelasku arhive zip, dozvole bez roditelja i namjerna preusmjeravanja koja se mogu koristiti za pokretanje neizvezenih komponente aplikacije.
Nagrada zavisi od težine otkrivenih ranjivosti i pogođenih aplikacija, a Google je spreman platiti do 30 dolara za otkrivanje ranjivosti koje omogućavaju napadačima da izvrše daljinski kod bez intervencije korisnika. Najveće nagrade za otkrivanje ozbiljnih ranjivosti u nivo 000 i 2 aplikacije su 3 dolara i 25 dolara u skladu s tim. Minimalni iznos za kvalifikovani izvještaj je 000 USD, ali Google može primijeniti i bonus od 20 USD za izuzetne izvještaje.
Googleov program nagrada za ispravljanje grešaka jedan je od najvećih u tehnološkoj industriji, sa 2022 miliona dolara isplaćeno istraživačima sigurnosti samo u 12. Najveća nagrada je 605 dolara za stručnjaka koji je otkrio lanac eksploatacije iz pet ranjivosti u Android.
Istraživači sigurnosti zainteresirani za Mobile VRP mogu pronaći više detalja ovdje ovdje. Google kaže da bi izvještaji trebali biti sažeti i uključivati kratak dokaz koncepta ako je moguće - neke smjernice o tome kako najbolje poslati izvještaje o greškama možete pronaći ovdje ovdje.
Pročitajte također: