昨年、Google のバグ報奨金プログラムは、同社の製品やサービスのセキュリティ上の欠陥を発見した研究者に少なくとも 12 万ドルを授与しました。この数字は8,7年に支払われた2021万ドルよりも大幅に高く、今後数年間でさらに増加すると予想されています。同社は現在、サードパーティのアプリケーションを対象とした新しいプログラムでセキュリティ研究の取り組みを拡大しています。 Android.
今月初め、Google は脆弱性報奨金プログラムを更新しました。 Android Google デバイス (VRP) では、バグ レポートの品質を評価するための新しいシステムを導入し、重大な脆弱性を発見した場合の最大報酬を 15 ドルに増額しました。これにより、携帯電話のセキュリティ上の欠陥の修正が容易になると同社は当時説明していました。 ピクセル、Google Nest および Fitbit デバイス、およびオペレーティング システム Android よりタイムリーに。
同社は今週、モバイル脆弱性報奨プログラム (Mobile VRP) を開始しました。このプログラムは、アプリケーションのセキュリティ調査に関心のある研究者を対象としています。 Android、GoogleまたはAlphabetグループに属するその他の企業によって開発されました。
新しいアプリは、サードパーティ製アプリを次のように分類します。 Android 3つのレベルで。最初のレベルには、Google Play Servi などの最も重要なアプリケーションが含まれていますces、Google Chrome、Gmail、Chrome リモート デスクトップ、Google Cloud、AGSA (Google 検索ウィジェット) Android)。第 2 層と第 3 層には、Google の研究部門、Google Samples、Red Hot Labs、Nest Labs、Waymo、Waze によって開発されたアプリが含まれます。
Mobile VRP プログラムの対象となるセキュリティ脆弱性の種類について、Google は任意のコードの実行やデータ盗難を可能にするバグに最も関心があるため、同社のセキュリティ エンジニアはこれらの報告を優先すると述べています。 同時に同社は、パストラバーサルやzipアーカイブトラバーサルの脆弱性、孤立したアクセス許可、エクスポートされていないファイルを起動するために使用できる意図的なリダイレクトなど、エクスプロイトチェーンの一部として悪用される可能性のある他のセキュリティ上の欠陥についても学習しようとしている。アプリケーションコンポーネント。
報奨金は発見された脆弱性と影響を受けるアプリケーションの重大度に応じて決まり、Googleはユーザーの介入なしに攻撃者がリモートコードを実行できる脆弱性の発見に対して最大30万ドルを支払う用意がある。 000 件の申請はそれに応じて 2 ドルと 3 ドルです。 適格なレポートの最低金額は 25 ドルですが、Google は例外的なレポートに対して 000 ドルのボーナスを適用する場合もあります。
Google のバグ修正報奨金プログラムはテクノロジー業界で最大規模のプログラムの 2022 つであり、12 年だけでセキュリティ研究者に 605 万ドルが支払われています。 Android.
モバイル VRP に興味のあるセキュリティ研究者は、ここで詳細を確認できます。 ここで。 Google は、レポートは簡潔で、可能であれば簡単な概念実証を含める必要があると述べています。バグレポートを送信する最適な方法に関するガイダンスは、こちらでご覧いただけます。 ここで.
また読む: