Četvrtak, 28. ožujka 2024

desktop v4.2.1

Root NationНовиниIT vijestiGoogle najavljuje bug bounty program u svojim aplikacijama za Android

Google najavljuje bug bounty program u svojim aplikacijama za Android

-

Prošle je godine Googleov bug bounty program dodijelio najmanje 12 milijuna dolara istraživačima koji su otkrili sigurnosne propuste u njegovim proizvodima i uslugama. Ta je brojka znatno veća od 8,7 milijuna dolara isplaćenih 2021. i očekuje se da će rasti u narednim godinama. Tvrtka sada proširuje svoje napore u istraživanju sigurnosti s novim programom koji cilja na aplikacije trećih strana za Android.

Ranije ovog mjeseca Google je ažurirao Vulnerability Bounty Program u Android i Google uređaji (VRP), uvodeći novi sustav za ocjenu kvalitete izvješća o pogreškama i povećavajući maksimalnu nagradu za pronalaženje kritičnih ranjivosti na 15 000 USD.Iz tvrtke su tada objasnili da će to olakšati popravljanje sigurnosnih propusta u telefonima piksel, Google Nest i Fitbit uređajima, kao i u operativnom sustavu Android na pravovremeniji način.

Ovog je tjedna tvrtka pokrenula Program nagrađivanja ranjivosti mobilnih uređaja (Mobile VRP), koji je usmjeren na istraživače zainteresirane za istraživanje sigurnosti aplikacija za Android, razvijen od strane Googlea ili drugih tvrtki koje pripadaju grupi Alphabet.

Nova aplikacija klasificira aplikacije trećih strana za Android na tri razine. Prva razina uključuje najvažnije aplikacije, poput Google Play Services, Google Chrome, Gmail, Chrome Remote Desktop, Google Cloud i AGSA (widget za Google pretraživanje u Android). Druga i treća razina uključuju aplikacije koje je razvio Googleov istraživački odjel, Google Samples, Red Hot Labs, Nest Labs, Waymo i Waze.

Google

Što se tiče tipova sigurnosnih propusta koje pokriva Mobile VRP program, Google kaže da ga najviše zanimaju bugovi koji dopuštaju proizvoljno izvršavanje koda i krađu podataka, pa će sigurnosni inženjeri tvrtke dati prioritet tim izvješćima. U isto vrijeme, tvrtka također želi saznati više o drugim sigurnosnim nedostacima koji se mogu iskoristiti kao dio lanaca iskorištavanja, uključujući ranjivosti prolaska kroz stazu ili zip arhivu, propuštena dopuštenja i namjerna preusmjeravanja koja se mogu koristiti za pokretanje neizvezenih komponente aplikacije.

Nagrada ovisi o ozbiljnosti otkrivenih ranjivosti i pogođenim aplikacijama, a Google je spreman platiti do 30 USD za otkrivanje ranjivosti koje napadačima omogućuju izvršavanje daljinskog koda bez intervencije korisnika. Najveće nagrade za otkrivanje ozbiljnih ranjivosti u razini 000 i 2 aplikacije su 3 USD i 25 USD u skladu. Minimalni iznos za kvalificirano izvješće je 000 USD, ali Google također može primijeniti bonus od 20 USD za iznimna izvješća.

Android

Googleov program nagrađivanja za ispravljanje pogrešaka jedan je od najvećih u tehnološkoj industriji, s 2022 milijuna dolara isplaćenih istraživačima sigurnosti samo u 12. Najveća nagrada je 605 000 dolara za stručnjaka koji je otkrio niz eksploatacija iz pet ranjivosti u Android.

Sigurnosni istraživači zainteresirani za Mobile VRP mogu pronaći više detalja ovdje ovdje. Google kaže da izvješća trebaju biti koncizna i uključivati ​​kratak dokaz koncepta ako je moguće - neke smjernice o tome kako najbolje poslati izvješća o pogreškama mogu se pronaći ovdje ovdje.

Pročitajte također:

Prijavite se
Obavijesti o
gost

0 Komentari
Ugrađene recenzije
Pogledaj sve komentare
Ostali članci
Pretplatite se na ažuriranja

Nedavni komentari

Sada popularno
0
Sviđaju nam se vaša razmišljanja, komentirajte.x