Minulý rok program odmeny za chyby od Googlu udelil najmenej 12 miliónov dolárov výskumníkom, ktorí objavili bezpečnostné chyby v jeho produktoch a službách. Toto číslo je výrazne vyššie ako 8,7 milióna dolárov vyplatených v roku 2021 a očakáva sa, že v nasledujúcich rokoch porastie. Spoločnosť teraz rozširuje svoje úsilie v oblasti bezpečnostného výskumu o nový program, ktorý sa zameriava na aplikácie tretích strán Android.
Začiatkom tohto mesiaca spoločnosť Google aktualizovala program Bounty za zraniteľnosť Android a zariadenia Google (VRP), pričom zavádzajú nový systém hodnotenia kvality hlásení o chybách a zvyšujú maximálnu odmenu za nájdenie kritických zraniteľností na 15 000 USD. Spoločnosť vtedy vysvetlila, že to uľahčí opravu bezpečnostných chýb v telefónoch pixel, zariadenia Google Nest a Fitbit, ako aj v operačnom systéme Android včasnejším spôsobom.
Tento týždeň spoločnosť spustila program Mobile Vulnerability Rewards Program (Mobile VRP), ktorý sa zameriava na výskumníkov zaujímajúcich sa o skúmanie bezpečnosti aplikácií pre Android, vyvinuté spoločnosťou Google alebo inými spoločnosťami patriacimi do skupiny Alphabet.
Nová aplikácia klasifikuje aplikácie tretích strán pre Android na troch úrovniach. Prvá úroveň obsahuje najdôležitejšie aplikácie, ako napríklad Google Play Services, Google Chrome, Gmail, Vzdialená plocha Chrome, Google Cloud a AGSA (miniaplikácia Vyhľadávanie Google v Android). Druhá a tretia úroveň zahŕňa aplikácie vyvinuté výskumnou divíziou Google, Google Samples, Red Hot Labs, Nest Labs, Waymo a Waze.
Pokiaľ ide o typy bezpečnostných zraniteľností, na ktoré sa vzťahuje program Mobile VRP, Google tvrdí, že ho najviac zaujímajú chyby, ktoré umožňujú spúšťanie ľubovoľného kódu a krádež údajov, takže bezpečnostní inžinieri spoločnosti budú uprednostňovať tieto správy. Zároveň sa spoločnosť snaží dozvedieť sa o ďalších bezpečnostných chybách, ktoré je možné využiť ako súčasť reťazcov využívania, vrátane zraniteľností týkajúcich sa prechodu cesty alebo prechodu archívu zip, osamotených povolení a zámerných presmerovaní, ktoré možno použiť na spustenie neexportovaných komponenty aplikácie.
Odmena závisí od závažnosti zistených zraniteľností a ovplyvnených aplikácií a Google je ochotný zaplatiť až 30 000 USD za objavenie zraniteľností, ktoré útočníkom umožňujú spustiť vzdialený kód bez zásahu používateľa Najvyššie odmeny za objavenie závažných zraniteľností v aplikácie úrovne 2 a 3 sú v súlade s 25 000 a 20 000 USD. Minimálna suma za kvalifikovanú správu je 500 USD, ale spoločnosť Google môže za výnimočné správy uplatniť aj bonus 1 000 USD.
Odmenový program spoločnosti Google na opravu chýb je jedným z najväčších v technologickom priemysle, pričom len v roku 2022 bolo výskumníkom v oblasti bezpečnosti vyplatených 12 miliónov USD. Najväčšia odmena je 605 000 USD pre odborníka, ktorý objavil reťazec exploitov z piatich zraniteľností v Android.
Výskumníci v oblasti bezpečnosti, ktorí sa zaujímajú o mobilné VRP, môžu nájsť ďalšie podrobnosti tu tu. Google tvrdí, že hlásenia by mali byť stručné a mali by obsahovať krátky dôkaz koncepcie, ak je to možné – niekoľko pokynov, ako čo najlepšie odosielať hlásenia o chybách, nájdete tu tu.
Prečítajte si tiež:
- Samsung rozhodol opustiť Google ako predvolený vyhľadávací nástroj
- 2GIS bol odstránený zo služby Google Play