ปีที่แล้ว โปรแกรม Bug Bounty ของ Google มอบรางวัลอย่างน้อย 12 ล้านดอลลาร์ให้กับนักวิจัยที่ค้นพบข้อบกพร่องด้านความปลอดภัยในผลิตภัณฑ์และบริการของตน ตัวเลขนี้สูงกว่าการจ่ายออกไป 8,7 ล้านดอลลาร์ในปี 2021 อย่างมีนัยสำคัญ และคาดว่าจะเพิ่มขึ้นในปีต่อๆ ไป ขณะนี้บริษัทกำลังขยายความพยายามในการวิจัยด้านความปลอดภัยด้วยโปรแกรมใหม่ที่กำหนดเป้าหมายแอปพลิเคชันบุคคลที่สาม Android.
เมื่อต้นเดือนที่ผ่านมา Google ได้อัปเดตโปรแกรม Vulnerability Bounty ใน Android และอุปกรณ์ของ Google (VRP) แนะนำระบบใหม่สำหรับการประเมินคุณภาพของรายงานข้อผิดพลาดและเพิ่มรางวัลสูงสุดสำหรับการค้นหาช่องโหว่ที่สำคัญเป็น 15 ดอลลาร์ บริษัท อธิบายในขณะนั้นว่าจะทำให้แก้ไขข้อบกพร่องด้านความปลอดภัยในโทรศัพท์ได้ง่ายขึ้น พิกเซล, อุปกรณ์ Google Nest และ Fitbit รวมถึงในระบบปฏิบัติการ Android ได้อย่างทันท่วงทียิ่งขึ้น
สัปดาห์นี้บริษัทได้เปิดตัวโครงการ Mobile Vulnerability Rewards Program (Mobile VRP) ซึ่งมุ่งเป้าไปที่นักวิจัยที่สนใจตรวจสอบความปลอดภัยของแอปพลิเคชันสำหรับ Androidพัฒนาโดย Google หรือบริษัทอื่นๆ ที่อยู่ในกลุ่มตัวอักษร
แอปใหม่จัดประเภทแอปของบุคคลที่สามสำหรับ Android ในสามระดับ ระดับแรกประกอบด้วยแอปพลิเคชันที่สำคัญที่สุด เช่น Google Play Services, Google Chrome, Gmail, Chrome Remote Desktop, Google Cloud และ AGSA (วิดเจ็ต Google Search ใน Android). ระดับที่สองและสามประกอบด้วยแอปที่พัฒนาโดยแผนกวิจัยของ Google, Google Samples, Red Hot Labs, Nest Labs, Waymo และ Waze
สำหรับประเภทของช่องโหว่ด้านความปลอดภัยที่ครอบคลุมโดยโปรแกรม Mobile VRP นั้น Google กล่าวว่าสนใจมากที่สุดในบั๊กที่อนุญาตให้ใช้รหัสโดยอำเภอใจและการโจรกรรมข้อมูล ดังนั้นวิศวกรด้านความปลอดภัยของบริษัทจะจัดลำดับความสำคัญของรายงานเหล่านั้น ในเวลาเดียวกัน บริษัทยังต้องการเรียนรู้เกี่ยวกับข้อบกพร่องด้านความปลอดภัยอื่นๆ ที่สามารถถูกโจมตีโดยเป็นส่วนหนึ่งของห่วงโซ่การแสวงหาผลประโยชน์ รวมถึงช่องโหว่การข้ามผ่านเส้นทางหรือไฟล์ Zip การอนุญาตที่ถูกละเลย และการเปลี่ยนเส้นทางโดยเจตนาที่สามารถใช้เพื่อเปิดใช้งานที่ไม่ได้ส่งออก ส่วนประกอบของแอปพลิเคชัน
รางวัลจะขึ้นอยู่กับความรุนแรงของช่องโหว่ที่ค้นพบและแอปพลิเคชันที่ได้รับผลกระทบ และ Google ยินดีจ่ายเงินสูงถึง 30 ดอลลาร์สหรัฐฯ สำหรับการค้นพบช่องโหว่ที่ทำให้ผู้โจมตีเรียกใช้โค้ดจากระยะไกลโดยที่ผู้ใช้ไม่ต้องดำเนินการใดๆ รางวัลสูงสุดสำหรับการค้นพบช่องโหว่ร้ายแรงในระดับ 000 และ 2 ใบสมัครคือ $3 และ $25 ตามลำดับ จำนวนเงินขั้นต่ำสำหรับรายงานที่ผ่านการรับรองคือ 000 ดอลลาร์ แต่ Google อาจให้โบนัส 20 ดอลลาร์สำหรับรายงานพิเศษ
โปรแกรมค่าหัวแก้ไขข้อบกพร่องของ Google เป็นหนึ่งในโปรแกรมที่ใหญ่ที่สุดในอุตสาหกรรมเทคโนโลยีโดยมีการจ่ายเงิน 2022 ล้านดอลลาร์ให้กับนักวิจัยด้านความปลอดภัยในปี 12 เพียงอย่างเดียว รางวัลที่ใหญ่ที่สุดคือ 605 ดอลลาร์สำหรับผู้เชี่ยวชาญที่ค้นพบห่วงโซ่ของการหาประโยชน์จากช่องโหว่ทั้งห้าใน Android.
นักวิจัยด้านความปลอดภัยที่สนใจ Mobile VRP สามารถดูรายละเอียดเพิ่มเติมได้ที่นี่ ที่นี่. Google กล่าวว่ารายงานควรกระชับและรวมหลักฐานสั้นๆ เกี่ยวกับแนวคิดหากเป็นไปได้ - คำแนะนำบางประการเกี่ยวกับวิธีการส่งรายงานข้อบกพร่องที่ดีที่สุดสามารถพบได้ที่นี่ ที่นี่.
อ่าน: