Loni program odměn za chyby od Googlu udělil nejméně 12 milionů dolarů výzkumníkům, kteří objevili bezpečnostní chyby v jeho produktech a službách. Toto číslo je výrazně vyšší než 8,7 milionu dolarů vyplacených v roce 2021 a očekává se, že v následujících letech poroste. Společnost nyní rozšiřuje své úsilí v oblasti bezpečnostního výzkumu o nový program, který se zaměřuje na aplikace třetích stran Android.
Začátkem tohoto měsíce Google aktualizoval program Vulnerability Bounty Android a zařízení Google (VRP), zavádějící nový systém pro vyhodnocování kvality hlášení o chybách a zvýšení maximální odměny za nalezení kritických zranitelností na 15 000 USD. Společnost tehdy vysvětlila, že to usnadní opravu bezpečnostních chyb v telefonech pixel, zařízení Google Nest a Fitbit a také v operačním systému Android včasnějším způsobem.
Tento týden společnost spustila program Mobile Vulnerability Rewards Program (Mobile VRP), který se zaměřuje na výzkumníky se zájmem o prozkoumání bezpečnosti aplikací pro Android, vyvinuté společností Google nebo jinými společnostmi patřícími do skupiny Alphabet.
Nová aplikace klasifikuje aplikace třetích stran pro Android na třech úrovních. První úroveň zahrnuje nejdůležitější aplikace, jako je Google Play Services, Google Chrome, Gmail, Vzdálená plocha Chrome, Google Cloud a AGSA (widget Vyhledávání Google v Android). Druhá a třetí úroveň zahrnuje aplikace vyvinuté výzkumnou divizí Google, Google Samples, Red Hot Labs, Nest Labs, Waymo a Waze.
Pokud jde o typy bezpečnostních zranitelností pokrytých programem Mobile VRP, Google říká, že se nejvíce zajímá o chyby, které umožňují libovolné spuštění kódu a krádeže dat, takže bezpečnostní inženýři společnosti budou upřednostňovat tato hlášení. Zároveň se společnost také snaží dozvědět se o dalších bezpečnostních nedostatcích, které lze zneužít v rámci řetězců exploitů, včetně zranitelností procházení cest nebo archivu zip, osiřelých oprávnění a záměrných přesměrování, která lze použít ke spuštění neexportovaných komponenty aplikace.
Odměna závisí na závažnosti zjištěných zranitelností a postižených aplikacích a Google je ochoten zaplatit až 30 000 USD za odhalení zranitelností, které útočníkům umožňují spouštět vzdálený kód bez zásahu uživatele. Nejvyšší odměny za odhalení závažných zranitelností na úrovni 2 a 3 žádosti jsou 25 000 USD a 20 000 USD v souladu. Minimální částka pro kvalifikovanou zprávu je 500 USD, ale společnost Google může také uplatnit bonus 1 000 USD za výjimečné zprávy.
Odměnový program společnosti Google za opravu chyb je jedním z největších v technologickém průmyslu, jen v roce 2022 bylo výzkumníkům v oblasti bezpečnosti vyplaceno 12 milionů dolarů. Největší odměna je 605 000 USD pro odborníka, který objevil řetězec exploitů z pěti zranitelností v Android.
Bezpečnostní výzkumníci, kteří se zajímají o mobilní VRP, mohou najít další podrobnosti zde zde. Google říká, že hlášení by měla být stručná a měla by obsahovat stručný důkaz konceptu, pokud je to možné – několik pokynů, jak nejlépe odeslat hlášení o chybách, naleznete zde zde.
Přečtěte si také: