Geçtiğimiz yıl, Google'ın hata ödül programı, ürün ve hizmetlerinde güvenlik kusurlarını keşfeden araştırmacılara en az 12 milyon dolar ödül verdi. Bu rakam, 8,7'de ödenen 2021 milyon dolardan önemli ölçüde daha yüksek ve önümüzdeki yıllarda da artması bekleniyor. Şirket şu anda güvenlik araştırma çalışmalarını, üçüncü taraf uygulamalarını hedef alan yeni bir programla genişletiyor. Android.
Bu ayın başlarında Google, Güvenlik Açığı Ödül Programını güncelledi. Android ve Google cihazları (VRP), hata raporlarının kalitesini değerlendirmek için yeni bir sistem sunuyor ve kritik güvenlik açıklarını bulmaya yönelik maksimum ödülü 15 dolara çıkarıyor. Şirket o dönemde bunun telefonlardaki güvenlik kusurlarını düzeltmeyi kolaylaştıracağını açıklamıştı. piksel, Google Nest ve Fitbit cihazlarının yanı sıra işletim sisteminde Android daha zamanında.
Bu hafta şirket, uygulamaların güvenliğini araştırmakla ilgilenen araştırmacıları hedef alan Mobil Güvenlik Açığı Ödül Programını (Mobil VRP) başlattı. Android, Google veya Alphabet grubuna ait diğer şirketler tarafından geliştirilmiştir.
Yeni uygulama, üçüncü taraf uygulamalarını sınıflandırıyor Android üç seviyede. İlk seviye Google Play Servi gibi en önemli uygulamaları içerirces, Google Chrome, Gmail, Chrome Uzaktan Masaüstü, Google Cloud ve AGSA (Google Arama widget'ı) Android). İkinci ve üçüncü katmanlar, Google'ın araştırma bölümü Google Samples, Red Hot Labs, Nest Labs, Waymo ve Waze tarafından geliştirilen uygulamaları içerir.
Mobil VRP programının kapsadığı güvenlik açıklarının türlerine gelince, Google, programın en çok rastgele kod yürütülmesine ve veri hırsızlığına izin veren hatalarla ilgilendiğini, bu nedenle şirketin güvenlik mühendislerinin bu raporlara öncelik vereceğini söylüyor. Aynı zamanda şirket, yol geçişi veya zip arşivi geçişi güvenlik açıkları, sahipsiz izinler ve dışa aktarılmayanları başlatmak için kullanılabilecek kasıtlı yönlendirmeler dahil olmak üzere, yararlanma zincirlerinin bir parçası olarak istismar edilebilecek diğer güvenlik açıklarını da öğrenmek istiyor. uygulama bileşenleri
Ödül, keşfedilen güvenlik açıklarının ve etkilenen uygulamaların ciddiyetine bağlıdır ve Google, saldırganların kullanıcı müdahalesi olmadan uzaktan kod yürütmesine olanak tanıyan güvenlik açıklarının keşfi için 30 ABD dolarına kadar ödemeye hazırdır. 000. ve 2. seviye başvurular sırasıyla 3$ ve 25$'dır. Nitelikli bir rapor için minimum tutar 000 ABD Dolarıdır, ancak Google ayrıca istisnai raporlar için 20 ABD Doları tutarında bir bonus uygulayabilir.
Google'ın hata düzeltme ödül programı, yalnızca 2022'de güvenlik araştırmacılarına ödenen 12 milyon ABD Doları ile teknoloji sektörünün en büyük ödül programlarından biridir. En büyük ödül, beş güvenlik açığından bir dizi istismar zinciri keşfeden bir uzmana 605 ABD Dolarıdır. Android.
Mobil VRP ile ilgilenen güvenlik araştırmacıları daha fazla ayrıntıyı burada bulabilir burada. Google, raporların kısa ve öz olması gerektiğini ve mümkünse kısa bir kavram kanıtı içermesi gerektiğini söylüyor - hata raporlarının en iyi şekilde nasıl gönderileceğine ilişkin bazı kılavuzlar burada bulunabilir burada.
Ayrıca okuyun:
- Samsung Google'ı varsayılan arama motoru olarak bırakmaya karar verdi
- 2GIS, Google Play'den kaldırıldı