I fjor tildelte Googles bug-bounty-program minst 12 millioner dollar til forskere som oppdaget sikkerhetsfeil i produktene og tjenestene deres. Dette tallet er betydelig høyere enn 8,7 millioner dollar som ble utbetalt i 2021 og forventes å vokse i årene som kommer. Selskapet utvider nå sin sikkerhetsforskningsinnsats med et nytt program som er rettet mot tredjepartsapplikasjoner for Android.
Tidligere denne måneden oppdaterte Google Vulnerability Bounty Program i Android og Google-enheter (VRP), introduserer et nytt system for å evaluere kvaliteten på feilrapporter og øke den maksimale belønningen for å finne kritiske sårbarheter til $15 000. Selskapet forklarte den gang at dette ville gjøre det lettere å fikse sikkerhetsfeil i telefoner pixel, Google Nest- og Fitbit-enheter, samt i operativsystemet Android på en mer tidsriktig måte.
Denne uken lanserte selskapet Mobile Vulnerability Rewards Program (Mobile VRP), som retter seg mot forskere som er interessert i å undersøke sikkerheten til applikasjoner for Android, utviklet av Google eller andre selskaper som tilhører Alphabet-gruppen.
Den nye appen klassifiserer tredjepartsapper for Android på tre nivåer. Det første nivået inkluderer de viktigste applikasjonene, for eksempel Google Play Services, Google Chrome, Gmail, Chrome Remote Desktop, Google Cloud og AGSA (Google Search-widgeten i Android). Det andre og tredje nivået inkluderer apper utviklet av Googles forskningsavdeling, Google Samples, Red Hot Labs, Nest Labs, Waymo og Waze.
Når det gjelder typene sikkerhetssårbarheter som dekkes av Mobile VRP-programmet, sier Google at det er mest interessert i feil som tillater vilkårlig kodekjøring og datatyveri, så selskapets sikkerhetsingeniører vil prioritere disse rapportene. Samtidig er selskapet også ute etter å lære om andre sikkerhetsfeil som kan utnyttes som en del av utnyttelseskjeder, inkludert sti-gjennomgang eller zip-arkiv-gjennomgang sårbarheter, foreldreløse tillatelser og bevisste omdirigeringer som kan brukes til å starte ikke-eksportert applikasjonskomponenter.
Belønningen avhenger av alvorlighetsgraden av de oppdagede sårbarhetene og de berørte applikasjonene, og Google er villig til å betale opptil $30 000 for oppdagelse av sårbarheter som lar angripere kjøre ekstern kode uten brukerintervensjon. De høyeste belønningene for oppdagelse av alvorlige sårbarheter i nivå 2 og 3 søknader er $25 000 og $20 000 i samsvar. Minimumsbeløpet for en kvalifisert rapport er $500, men Google kan også bruke en bonus på $1 for eksepsjonelle rapporter.
Googles dusørprogram for feilretting er et av de største i teknologibransjen, med 2022 millioner dollar utbetalt til sikkerhetsforskere i 12 alene. Den største belønningen er 605 000 dollar for en ekspert som oppdaget en kjede av utnyttelser fra fem sårbarheter i Android.
Sikkerhetsforskere som er interessert i Mobile VRP kan finne flere detaljer her her. Google sier at rapportene bør være konsise og inkludere et kort proof of concept hvis mulig - noen veiledning om hvordan du best sender inn feilrapporter finner du her her.
Les også: