Прошле године, Гоогле-ов програм за награђивање грешака доделио је најмање 12 милиона долара истраживачима који су открили безбедносне пропусте у његовим производима и услугама. Ова цифра је знатно већа од 8,7 милиона долара исплаћених 2021. и очекује се да ће расти у наредним годинама. Компанија сада проширује своје напоре у истраживању безбедности новим програмом који циља апликације трећих страна Android.
Раније овог месеца, Гугл је ажурирао Програм за награђивање рањивости у Android и Гоогле уређаји (ВРП), увођењем новог система за процену квалитета извештаја о грешкама и повећањем максималне награде за проналажење критичних рањивости на 15 000 долара. Компанија је тада објаснила да би то олакшало исправљање безбедносних недостатака у телефонима пиксела, Гоогле Нест и Фитбит уређајима, као и у оперативном систему Android благовремено.
Ове недеље, компанија је покренула Програм награђивања мобилних рањивости (Мобиле ВРП), који циља истраживаче заинтересоване да истраже безбедност апликација за Android, коју је развио Гоогле или друге компаније које припадају групи Алпхабет.
Нова апликација класификује апликације трећих страна за Android на три нивоа. Први ниво укључује најважније апликације, као што је Гоогле Плаи Сервиces, Гоогле Цхроме, Гмаил, Цхроме Ремоте Десктоп, Гоогле Цлоуд и АГСА (виџет за Гоогле претрагу у Android). Други и трећи ниво обухватају апликације које је развила Гоогле-ова истраживачка дивизија, Гоогле Самплес, Ред Хот Лабс, Нест Лабс, Ваимо и Вазе.
Што се тиче врста безбедносниһ пропуста које покрива програм Мобиле ВРП, Гоогле каже да је највише заинтересован за грешке које дозвољавају произвољно извршавање кода и крађу података, тако да ће безбедносни инжењери компаније дати приоритет тим извештајима. У исто време, компанија такође жели да сазна о другим безбедносним недостацима који се могу искористити као део ланаца експлоатације, укључујући рањивости при преласку путање или преласку арһиве зип, дозволе без родитеља и намерна преусмеравања која се могу користити за покретање неизвезениһ компоненте апликације.
Награда зависи од озбиљности откривениһ рањивости и погођениһ апликација, а Гоогле је спреман да плати до 30 долара за откривање рањивости које омогућавају нападачима да изврше даљински код без интервенције корисника. Највеће награде за откривање озбиљниһ рањивости на нивоу 000 и 2 апликације су 3 долара и 25 долара у складу. Минимални износ за квалификовани извештај је 000 УСД, али Гоогле такође може да примени бонус од 20 УСД за изузетне извештаје.
Гоогле-ов програм награда за исправљање грешака један је од највећих у технолошкој индустрији, са 2022 милиона долара исплаћено истраживачима безбедности само у 12. Највећа награда је 605 долара за стручњака који је открио ланац експлоатације из пет рањивости у Android.
Истраживачи безбедности заинтересовани за Мобиле ВРП могу пронаћи више детаља овде овде. Гугл каже да извештаји треба да буду сажети и да садрже кратак доказ концепта ако је могуће – неке смернице о томе како најбоље послати извештаје о грешкама могу се наћи овде овде.
Прочитајте такође: