O‘tgan yili Google’ning xatoliklarni mukofotlash dasturi mahsulot va xizmatlarida xavfsizlik kamchiliklarini aniqlagan tadqiqotchilarga kamida 12 million dollar mukofot berdi. Bu ko'rsatkich 8,7 yilda to'langan 2021 million dollardan ancha yuqori va kelgusi yillarda o'sishi kutilmoqda. Endi kompaniya xavfsizlik bo'yicha tadqiqot ishlarini uchinchi tomon ilovalariga mo'ljallangan yangi dastur bilan kengaytirmoqda Android.
Shu oy boshida Google zaiflik uchun mukofot dasturini yangiladi Android va Google qurilmalari (VRP), xato hisobotlari sifatini baholash uchun yangi tizimni joriy etish va muhim zaifliklarni topish uchun maksimal mukofotni 15 000 dollargacha oshirish. Kompaniya o‘shanda bu telefonlardagi xavfsizlik kamchiliklarini tuzatishni osonlashtirishini tushuntirgan edi. pixel, Google Nest va Fitbit qurilmalari, shuningdek, operatsion tizimda Android o'z vaqtida.
Shu hafta kompaniya ilovalar xavfsizligini tekshirishga qiziqqan tadqiqotchilarga mo‘ljallangan Mobil zaifliklarni mukofotlash dasturini (Mobile VRP) ishga tushirdi. Android, Google yoki Alphabet guruhiga kiruvchi boshqa kompaniyalar tomonidan ishlab chiqilgan.
Yangi ilova uchinchi tomon ilovalarini tasniflaydi Android uch darajada. Birinchi daraja Google Play Service kabi eng muhim ilovalarni o'z ichiga oladices, Google Chrome, Gmail, Chrome Remote Desktop, Google Cloud va AGSA (Google Qidiruv vidjeti Android). Ikkinchi va uchinchi darajalarga Google tadqiqot boʻlimi, Google Samples, Red Hot Labs, Nest Labs, Waymo va Waze tomonidan ishlab chiqilgan ilovalar kiradi.
Mobil VRP dasturi qamrab olgan xavfsizlik zaifliklarining turlariga kelsak, Google uni eng ko'p o'zboshimchalik bilan kod bajarilishi va ma'lumotlarni o'g'irlash imkonini beruvchi xatolar qiziqtiradi, shuning uchun kompaniya xavfsizlik muhandislari ushbu hisobotlarga ustuvor ahamiyat berishadi. Shu bilan birga, kompaniya ekspluatatsiya zanjirlarining bir qismi sifatida ishlatilishi mumkin bo'lgan boshqa xavfsizlik kamchiliklari, jumladan, yo'lni bosib o'tish yoki zip arxivini o'tkazish zaifliklari, etim ruxsatlar va eksport qilinmagan fayllarni ishga tushirish uchun ishlatilishi mumkin bo'lgan qasddan yo'naltirishlar haqida ham ma'lumot olishga intilmoqda. dastur komponentlari.
Mukofot aniqlangan zaifliklar va ta'sirlangan ilovalarning jiddiyligiga bog'liq bo'lib, Google tajovuzkorlarga foydalanuvchi aralashuvisiz masofaviy kodni amalga oshirish imkonini beruvchi zaifliklarni aniqlash uchun 30 000 dollargacha to'lashga tayyor. 2-darajadagi jiddiy zaifliklarni aniqlash uchun eng yuqori mukofot. va 3 ta ariza mos ravishda $25 va $000. Malakali hisobot uchun minimal miqdor 20 dollarni tashkil qiladi, ammo Google istisno hisobotlar uchun 000 dollar bonus ham qoʻllashi mumkin.
Google’ning xatolarni tuzatish bo‘yicha mukofot dasturi texnologiya sohasidagi eng yirik dasturlardan biri bo‘lib, faqat 2022-yilda xavfsizlik bo‘yicha tadqiqotchilarga 12 million dollar to‘lanadi. Eng katta mukofot esa beshta zaiflikdan foydalanish zanjirini aniqlagan mutaxassis uchun 605 ming dollarni tashkil qiladi. Android.
Mobil VRP bilan qiziqqan xavfsizlik tadqiqotchilari bu yerda batafsil ma'lumot olishlari mumkin shu yerda. Google hisobotlar qisqa boʻlishi va iloji boʻlsa tushunchaning qisqacha isbotini oʻz ichiga olishi kerakligini aytadi – xato hisobotlarini qanday qilib eng yaxshi tarzda topshirish boʻyicha koʻrsatmalarni shu yerda topishingiz mumkin shu yerda.
Shuningdek o'qing:
- Samsung Googleni standart qidiruv tizimi sifatida qoldirishga qaror qildi
- 2GIS Google Play'dan olib tashlandi