Минулого року програма Google з винагороди за виявлення багів присудила щонайменше $12 млн дослідникам, які виявили недоліки безпеки в її продуктах і сервісах. Ця цифра значно перевищує $8,7 млн, виплачених у 2021 році, і, як очікується, зростатиме в найближчі роки. Зараз компанія розширює свої зусилля з дослідження безпеки новою програмою, яка націлена на сторонні застосунки для Android.
Раніше цього місяця Google оновила Програму винагороди за виявлення вразливостей в Android і пристроях Google (VRP), ввівши нову систему оцінки якості звітів про помилки і збільшивши максимальну винагороду за пошук критичних вразливостей до $15 000. Компанія пояснила тоді, що це полегшить виправлення недоліків безпеки в телефонах Pixel, пристроях Google Nest і Fitbit, а також в операційній системі Android більш своєчасним чином.
Цього тижня компанія запустила програму винагород за виявлення вразливостей у мобільних пристроях (Mobile Vulnerability Rewards Program, Mobile VRP), яка націлена на дослідників, зацікавлених у дослідженні безпеки застосунків для Android, розроблених Google або іншими компаніями, що належать до групи Alphabet.
Нова програма класифікує сторонні програми для Android за трьома рівнями. До першого рівня належать найважливіші програми, такі як Google Play Services, Google Chrome, Gmail, Chrome Remote Desktop, Gоogle Cloud і AGSA (віджет Gоogle Search в Android). До другого та третього рівнів належать застосунки, розроблені дослідницьким підрозділом Google, Google Samples, Red Hot Labs, Nest Labs, Waymo та Waze.
Щодо типів вразливостей безпеки, які підпадають під програму Mobile VRP, Gоogle заявляє, що найбільше цікавлять баги, які дозволяють довільне виконання коду та крадіжку даних, тому інженери з безпеки компанії надаватимуть пріоритет саме таким повідомленням. Водночас компанія також прагне дізнатися про інші недоліки безпеки, які можуть бути використані як частина ланцюжків експлойтів, включаючи вразливості обходу шляху або обходу zip-архіву, “осиротілі” дозволи та навмисні перенаправлення, які можуть бути використані для запуску неекспортованих компонентів програм.
Винагорода залежить від серйозності виявлених вразливостей та уражених застосунків, а за виявлення вразливостей, які дозволяють зловмисникам виконувати віддалений код без участі користувача, Goоgle готова заплатити до $30 000. Найзначніші винагороди за виявлення серйозних вразливостей у застосунках рівня 2 і 3 становлять $25 000 і $20 000 відповідно. Найнижча сума за кваліфікований звіт становить $500, але Goоgle може також застосувати бонус у розмірі $1 000 за виняткові звіти.
Програма винагороди за виправлення помилок Goоgle є однією з найбільших у технологічній індустрії: лише у 2022 році дослідникам безпеки було виплачено $12 млн. Найбільша винагорода – $605 000 для експерта, який виявив ланцюжок експлойтів з п’яти вразливостей в Android.
Дослідники безпеки, які зацікавлені в Mobile VRP, можуть знайти більше деталей тут. Gооgle каже, що звіти повинні бути стислими і включати короткий доказ концепції, якщо це можливо – деякі рекомендації про те, як краще надсилати звіти про помилки, можна знайти тут.
Читайте також:
Leave a Reply