Eelmisel aastal andis Google'i vearahaprogramm vähemalt 12 miljonit dollarit teadlastele, kes avastasid tema toodetes ja teenustes turvavigu. See arv on oluliselt suurem kui 8,7. aastal väljamakstud 2021 miljonit dollarit ja see peaks lähiaastatel kasvama. Ettevõte laiendab nüüd oma turbeuuringutega seotud jõupingutusi uue programmiga, mis on suunatud kolmandate osapoolte rakendustele Android.
Selle kuu alguses värskendas Google haavatavuse bounty programmi Android ja Google'i seadmetes (VRP), tutvustades uut süsteemi veateadete kvaliteedi hindamiseks ja suurendades maksimaalset tasu kriitiliste haavatavuste leidmise eest 15 000 dollarini. Ettevõte selgitas toona, et see muudab telefonide turvavigade parandamise lihtsamaks piksel, Google Nesti ja Fitbiti seadmetes, aga ka operatsioonisüsteemis Android õigeaegsemalt.
Sel nädalal käivitas ettevõte Mobile Vulnerability Rewards programmi (Mobile VRP), mis on suunatud teadlastele, kes on huvitatud rakenduste turvalisuse uurimisest. Android, mille on välja töötanud Google või teised Alphabeti gruppi kuuluvad ettevõtted.
Uus rakendus liigitab kolmandate osapoolte rakendused Android kolmel tasandil. Esimesel tasemel on kõige olulisemad rakendused, näiteks Google Play Services, Google Chrome, Gmail, Chrome Remote Desktop, Google Cloud ja AGSA (Google'i otsingu vidin Android). Teine ja kolmas tase hõlmavad rakendusi, mille on välja töötanud Google'i uurimisosakonna Google Samples, Red Hot Labs, Nest Labs, Waymo ja Waze.
Mis puudutab Mobile VRP programmiga hõlmatud turvaaukude tüüpe, siis Google ütleb, et ta on kõige rohkem huvitatud vigadest, mis võimaldavad suvalist koodikäivitust ja andmete vargust, nii et ettevõtte turvainsenerid seavad need aruanded esikohale. Samal ajal soovib ettevõte saada teavet ka muude turvavigade kohta, mida saab ärakasutamise ahelate osana ära kasutada, sealhulgas tee läbimise või ZIP-arhiivi läbimise haavatavused, orvuks jäänud load ja tahtlikud ümbersuunamised, mida saab kasutada mitteeksporditavate materjalide käivitamiseks. rakenduse komponendid.
Tasu sõltub avastatud haavatavuste raskusastmest ja mõjutatud rakendustest ning Google on nõus maksma kuni 30 000 dollarit turvaaukude avastamise eest, mis võimaldavad ründajatel käivitada kaugkoodi ilma kasutaja sekkumiseta. Suurimad preemiad tõsiste turvaaukude avastamise eest 2. ja 3. taseme rakendused on vastavalt 25 000 ja 20 000 dollarit. Kvalifitseeritud aruande miinimumsumma on 500 dollarit, kuid Google võib erakorraliste aruannete eest rakendada ka 1 dollari suurust boonust.
Google'i vigade parandamise boonusprogramm on üks suurimaid tehnoloogiatööstuses, ainuüksi 2022. aastal maksti turvauurijatele välja 12 miljonit dollarit. Suurim tasu on 605 000 dollarit eksperdile, kes avastas aastal viiest haavatavusest ärakasutamise ahela. Android.
Mobiilse VRP-st huvitatud turvateadlased leiavad rohkem üksikasju siit siin. Google ütleb, et aruanded peaksid olema ülevaatlikud ja võimaluse korral sisaldama lühidalt kontseptsiooni tõestust – mõned juhised veaaruannete parima esitamise kohta leiate siit siin.
Loe ka: