გასულ წელს, Google-ის შეცდომების დაჯავშნის პროგრამამ მინიმუმ 12 მილიონი დოლარი დააჯილდოვა მკვლევარებისთვის, რომლებმაც აღმოაჩინეს უსაფრთხოების ხარვეზები მის პროდუქტებსა და სერვისებში. ეს მაჩვენებელი მნიშვნელოვნად აღემატება 8,7 წელს გადახდილ 2021 მილიონ დოლარს და მოსალოდნელია, რომ გაიზრდება მომდევნო წლებში. კომპანია ახლა აფართოებს უსაფრთხოების კვლევის ძალისხმევას ახალი პროგრამით, რომელიც მიზნად ისახავს მესამე მხარის აპლიკაციებს Android.
ამ თვის დასაწყისში გუგლმა განაახლა Vulnerability Bounty პროგრამა Android და Google-ის მოწყობილობები (VRP), შემოიღეს ახალი სისტემა შეცდომების შესახებ შეტყობინებების ხარისხის შესაფასებლად და კრიტიკული დაუცველობის აღმოჩენისთვის მაქსიმალური ჯილდოს 15 დოლარამდე გაზრდას. კომპანიამ მაშინ განმარტა, რომ ეს გააადვილებდა ტელეფონების უსაფრთხოების ხარვეზების გამოსწორებას. Pixel, Google Nest და Fitbit მოწყობილობებზე, ასევე ოპერაციულ სისტემაში Android უფრო დროულად.
ამ კვირაში კომპანიამ გამოუშვა მობილური დაუცველობის ჯილდოს პროგრამა (Mobile VRP), რომელიც მიზნად ისახავს მკვლევარებს, რომლებიც დაინტერესებულნი არიან აპლიკაციების უსაფრთხოების გამოკვლევით. Android, შემუშავებული Google-ის ან სხვა კომპანიების მიერ, რომლებიც მიეკუთვნებიან Alphabet ჯგუფს.
ახალი აპი კლასიფიცირდება მესამე მხარის აპებისთვის Android სამ დონეზე. პირველი დონე მოიცავს ყველაზე მნიშვნელოვან აპლიკაციებს, როგორიცაა Google Play Services, Google Chrome, Gmail, Chrome Remote Desktop, Google Cloud და AGSA (Google Search ვიჯეტი Android). მეორე და მესამე დონეები მოიცავს Google-ის კვლევის განყოფილების, Google Samples, Red Hot Labs, Nest Labs, Waymo და Waze მიერ შემუშავებულ აპებს.
რაც შეეხება მობილური VRP პროგრამით დაფარული უსაფრთხოების ხარვეზების ტიპებს, Google ამბობს, რომ ის ყველაზე მეტად დაინტერესებულია შეცდომებით, რომლებიც საშუალებას აძლევს თვითნებური კოდის შესრულებას და მონაცემთა ქურდობას, ამიტომ კომპანიის უსაფრთხოების ინჟინრები პრიორიტეტს მიანიჭებენ ამ ანგარიშებს. ამავდროულად, კომპანია ასევე ცდილობს შეიტყოს უსაფრთხოების სხვა ხარვეზების შესახებ, რომლებიც შეიძლება გამოყენებულ იქნას ექსპლოიტის ჯაჭვების ნაწილად, მათ შორის ბილიკის გავლის ან zip არქივის გავლის დაუცველობა, ობოლი ნებართვები და მიზანმიმართული გადამისამართებები, რომლებიც შეიძლება გამოყენებულ იქნას არაექსპორტის გასაშვებად. განაცხადის კომპონენტები.
ჯილდო დამოკიდებულია აღმოჩენილი დაუცველობის სიმძიმეზე და დაზარალებულ აპლიკაციებზე და Google მზადაა გადაიხადოს $30-მდე დაუცველობის აღმოჩენისთვის, რაც თავდამსხმელებს საშუალებას აძლევს შეასრულონ დისტანციური კოდი მომხმარებლის ჩარევის გარეშე. უმაღლესი ჯილდოები სერიოზული დაუცველობის აღმოჩენისთვის მე-000 დონეზე. და 2 განაცხადი არის $3 და $25 შესაბამისად. მინიმალური თანხა კვალიფიციური ანგარიშისთვის არის $000, მაგრამ Google-მა ასევე შეიძლება გამოიყენოს ბონუსი $20 განსაკუთრებული მოხსენებებისთვის.
Google-ის შეცდომების გამოსწორების ბონუტი პროგრამა ერთ-ერთი უდიდესია ტექნოლოგიურ ინდუსტრიაში, 2022 მილიონი დოლარი გადაიხადეს უსაფრთხოების მკვლევარებისთვის მხოლოდ 12 წელს. ყველაზე დიდი ჯილდოა 605 აშშ დოლარი ექსპერტისთვის, რომელმაც აღმოაჩინა ხუთი დაუცველობის ექსპლოიტების ჯაჭვი. Android.
უსაფრთხოების მკვლევარები, რომლებიც დაინტერესებულნი არიან მობილური VRP-ით, შეუძლიათ იხილონ მეტი ინფორმაცია აქ აქ. Google ამბობს, რომ ანგარიშები უნდა იყოს ლაკონური და შეიცავდეს კონცეფციის მოკლე მტკიცებულებას, თუ ეს შესაძლებელია - ზოგიერთი ინსტრუქცია, თუ როგორ უნდა წარადგინოთ შეცდომების შესახებ ანგარიშები, შეგიძლიათ იხილოთ აქ. აქ.
ასევე წაიკითხეთ:
- Samsung გადაწყვიტა დაეტოვებინა Google როგორც ნაგულისხმევი საძიებო სისტემა
- 2GIS წაშლილია Google Play-დან