Πέρυσι, το πρόγραμμα επιβράβευσης σφαλμάτων της Google απένειμε τουλάχιστον 12 εκατομμύρια δολάρια σε ερευνητές που ανακάλυψαν ελαττώματα ασφαλείας στα προϊόντα και τις υπηρεσίες της. Αυτός ο αριθμός είναι σημαντικά υψηλότερος από τα 8,7 εκατομμύρια δολάρια που καταβλήθηκαν το 2021 και αναμένεται να αυξηθεί τα επόμενα χρόνια. Η εταιρεία επεκτείνει τώρα τις ερευνητικές της προσπάθειες για την ασφάλεια με ένα νέο πρόγραμμα που στοχεύει εφαρμογές τρίτων Android.
Νωρίτερα αυτό το μήνα, η Google ενημέρωσε το Πρόγραμμα Bounty για ευπάθειες Android και τις συσκευές Google (VRP), εισάγοντας ένα νέο σύστημα για την αξιολόγηση της ποιότητας των αναφορών σφαλμάτων και την αύξηση της μέγιστης ανταμοιβής για την εύρεση κρίσιμων τρωτών σημείων στα 15 $. Η εταιρεία εξήγησε τότε ότι αυτό θα διευκόλυνε την επιδιόρθωση ελαττωμάτων ασφαλείας στα τηλέφωνα Εικονοκύτταρο, συσκευές Google Nest και Fitbit, καθώς και στο λειτουργικό σύστημα Android με πιο έγκαιρο τρόπο.
Αυτή την εβδομάδα, η εταιρεία εγκαινίασε το Mobile Vulnerability Rewards Program (Mobile VRP), το οποίο απευθύνεται σε ερευνητές που ενδιαφέρονται να διερευνήσουν την ασφάλεια των εφαρμογών για Android, που αναπτύχθηκε από την Google ή άλλες εταιρείες που ανήκουν στην ομάδα Alphabet.
Η νέα εφαρμογή ταξινομεί εφαρμογές τρίτων για Android σε τρία επίπεδα. Το πρώτο επίπεδο περιλαμβάνει τις πιο σημαντικές εφαρμογές, όπως το Google Play Services, Google Chrome, Gmail, Chrome Remote Desktop, Google Cloud και AGSA (το γραφικό στοιχείο Αναζήτησης Google στο Android). Το δεύτερο και το τρίτο επίπεδο περιλαμβάνουν εφαρμογές που αναπτύχθηκαν από το ερευνητικό τμήμα της Google, τα Google Samples, Red Hot Labs, Nest Labs, Waymo και Waze.
Όσον αφορά τους τύπους τρωτών σημείων ασφαλείας που καλύπτονται από το πρόγραμμα Mobile VRP, η Google λέει ότι ενδιαφέρεται περισσότερο για σφάλματα που επιτρέπουν αυθαίρετη εκτέλεση κώδικα και κλοπή δεδομένων, επομένως οι μηχανικοί ασφαλείας της εταιρείας θα δώσουν προτεραιότητα σε αυτές τις αναφορές. Ταυτόχρονα, η εταιρεία αναζητά επίσης να μάθει για άλλα ελαττώματα ασφαλείας που μπορούν να αξιοποιηθούν ως μέρος αλυσίδων εκμετάλλευσης, συμπεριλαμβανομένων ευπαθειών διέλευσης μονοπατιού ή αρχείου zip, ορφανών αδειών και σκόπιμων ανακατευθύνσεων που μπορούν να χρησιμοποιηθούν για την εκκίνηση μη εξαγόμενων εξαρτήματα εφαρμογής.
Η ανταμοιβή εξαρτάται από τη σοβαρότητα των ευπαθειών που ανακαλύφθηκαν και των εφαρμογών που επηρεάζονται και η Google είναι πρόθυμη να πληρώσει έως και 30 $ για την ανακάλυψη τρωτών σημείων που επιτρέπουν στους εισβολείς να εκτελούν απομακρυσμένο κώδικα χωρίς παρέμβαση χρήστη. Οι υψηλότερες ανταμοιβές για την ανακάλυψη σοβαρών τρωτών σημείων στο επίπεδο 000 και 2 αιτήσεις είναι 3 $ και 25 $ σύμφωνα. Το ελάχιστο ποσό για μια κατάλληλη αναφορά είναι 000 $, αλλά η Google μπορεί επίσης να εφαρμόσει μπόνους 20 $ για εξαιρετικές αναφορές.
Το πρόγραμμα επιβράβευσης διόρθωσης σφαλμάτων της Google είναι ένα από τα μεγαλύτερα στον κλάδο της τεχνολογίας, με 2022 εκατομμύρια δολάρια που καταβλήθηκαν σε ερευνητές ασφαλείας μόνο το 12. Η μεγαλύτερη ανταμοιβή είναι 605 δολάρια για έναν ειδικό που ανακάλυψε μια αλυσίδα εκμεταλλεύσεων από πέντε ευπάθειες στο Android.
Οι ερευνητές ασφαλείας που ενδιαφέρονται για το Mobile VRP μπορούν να βρουν περισσότερες λεπτομέρειες εδώ εδώ. Η Google λέει ότι οι αναφορές πρέπει να είναι συνοπτικές και να περιλαμβάνουν μια σύντομη απόδειξη της ιδέας, εάν είναι δυνατόν - ορισμένες οδηγίες για τον καλύτερο τρόπο υποβολής αναφορών σφαλμάτων μπορείτε να βρείτε εδώ εδώ.
Διαβάστε επίσης:
- Samsung αποφάσισε να αφήσει το Google ως την προεπιλεγμένη μηχανή αναζήτησης
- Το 2GIS έχει αφαιρεθεί από το Google Play