בשנה שעברה, תוכנית הבאונטי של גוגל העניקה לפחות 12 מיליון דולר לחוקרים שגילו ליקויי אבטחה במוצרים ובשירותים שלה. נתון זה גבוה משמעותית מ-8,7 מיליון הדולר ששולמו ב-2021 וצפוי לגדול בשנים הקרובות. החברה מרחיבה כעת את מאמצי מחקר האבטחה שלה עם תוכנית חדשה המכוונת ליישומי צד שלישי עבור Android.
מוקדם יותר החודש, גוגל עדכנה את תוכנית השלכות לחולשות ב Android ומכשירי גוגל (VRP), מציגים מערכת חדשה להערכת איכות דוחות באגים והגדלת התגמול המקסימלי למציאת נקודות תורפה קריטיות ל-$15. החברה הסבירה אז שזה יקל על תיקון ליקויי אבטחה בטלפונים פיקסל, מכשירי Google Nest ו-Fitbit, וכן במערכת ההפעלה Android בצורה יותר בזמן.
השבוע השיקה החברה את תוכנית Mobile Vulnerability Rewards (Mobile VRP), המכוונת לחוקרים המעוניינים לחקור את האבטחה של יישומים עבור Android, שפותחה על ידי גוגל או חברות אחרות השייכות לקבוצת Alphabet.
האפליקציה החדשה מסווגת אפליקציות של צד שלישי עבור Android בשלוש רמות. הרמה הראשונה כוללת את היישומים החשובים ביותר, כגון Google Play Services, Google Chrome, Gmail, Chrome Remote Desktop, Google Cloud ו-AGSA (הווידג'ט של חיפוש Google ב Android). הרובד השני והשלישי כוללים אפליקציות שפותחו על ידי חטיבת המחקר של גוגל, Google Samples, Red Hot Labs, Nest Labs, Waymo ו-Waze.
באשר לסוגי פרצות האבטחה המכוסות על ידי תוכנית Mobile VRP, גוגל אומרת שהיא מתעניינת בעיקר בבאגים המאפשרים ביצוע קוד שרירותי וגניבת נתונים, ולכן מהנדסי האבטחה של החברה יתנו עדיפות לדיווחים הללו. במקביל, החברה גם מחפשת ללמוד על פגמי אבטחה נוספים שניתן לנצל כחלק משרשרות ניצול, כולל נקודות תורפה או חציית ארכיון zip, הרשאות מיותמות והפניות מכוונות שניתן להשתמש בהן כדי להפעיל לא-ייצוא רכיבי יישום.
התגמול תלוי בחומרת הפגיעויות שהתגלו והיישומים המושפעים, וגוגל מוכנה לשלם עד 30 דולר עבור גילוי נקודות תורפה המאפשרות לתוקפים לבצע קוד מרחוק ללא התערבות משתמש. התגמול הגבוה ביותר עבור גילוי נקודות תורפה חמורות ב- בקשות ברמה 000 ו-2 הן $3 ו-$25 בהתאם. הסכום המינימלי לדוח מוסמך הוא $000, אך Google עשויה להחיל גם בונוס של $20 עבור דוחות חריגים.
תוכנית השפע של גוגל לתיקון באגים היא מהגדולות בתעשיית הטכנולוגיה, עם 2022 מיליון דולר ששולמו לחוקרי אבטחה בשנת 12 בלבד. הפרס הגדול ביותר הוא 605 דולר למומחה שגילה שרשרת של ניצולים מחמש נקודות תורפה ב- Android.
חוקרי אבטחה המתעניינים ב-VRP לנייד יכולים למצוא פרטים נוספים כאן כאן. גוגל אומרת שדוחות צריכים להיות תמציתיים ולכלול הוכחה קצרה למושג במידת האפשר - כמה הדרכה כיצד לשלוח דוחות באגים בצורה הטובה ביותר ניתן למצוא כאן כאן.
קרא גם: