去年,谷歌的漏洞赏金计划向发现其产品和服务中安全漏洞的研究人员奖励了至少 12 万美元。这一数字明显高于 8,7 年支付的 2021 万美元,预计未来几年还会增长。该公司目前正在通过一项新计划扩大其安全研究工作,该计划针对第三方应用程序 Android.
本月早些时候,谷歌更新了漏洞赏金计划 Android 和谷歌设备(VRP),引入了一个新的系统来评估错误报告的质量,并将发现关键漏洞的最高奖励提高到 15 美元。该公司当时解释说,这将使修复手机中的安全漏洞变得更加容易 像素、Google Nest 和 Fitbit 设备以及操作系统 Android 更及时地。
本周,该公司推出了移动漏洞奖励计划(Mobile VRP),该计划针对有兴趣调查应用程序安全性的研究人员 Android,由 Google 或属于 Alphabet 集团的其他公司开发。
新应用程序对第三方应用程序进行了分类 Android 在三个层面上。第一级包括最重要的应用程序,例如 Google Play Services、Google Chrome、Gmail、Chrome 远程桌面、Google Cloud 和 AGSA(Google 搜索小部件) Android)。第二层和第三层包括谷歌研究部门、Google Samples、Red Hot Labs、Nest Labs、Waymo 和 Waze 开发的应用程序。
至于 Mobile VRP 计划涵盖的安全漏洞类型,谷歌表示,它最感兴趣的是允许任意代码执行和数据窃取的漏洞,因此该公司的安全工程师将优先处理这些报告。 同时,该公司还希望了解可作为漏洞利用链的一部分加以利用的其他安全漏洞,包括路径遍历或 zip 存档遍历漏洞、孤立权限以及可用于启动非导出的故意重定向应用程序组件。
奖励取决于所发现漏洞的严重程度和受影响的应用程序,谷歌愿意为发现允许攻击者在无需用户干预的情况下执行远程代码的漏洞支付最高 30 美元。发现严重漏洞的最高奖励为000 级和 2 级申请分别为 3 美元和 25 美元。 合格报告的最低金额为 000 美元,但 Google 也可能会为特殊报告申请 20 美元的奖金。
谷歌的错误修复赏金计划是科技行业最大的计划之一,仅在 2022 年就向安全研究人员支付了 12 万美元。其中最大的奖励是一位专家,他发现了 605 个漏洞的一系列漏洞利用程序,获得了 000 美元的奖励。 Android.
对移动 VRP 感兴趣的安全研究人员可以在此处找到更多详细信息 这里. 谷歌表示,报告应该简明扼要,并在可能的情况下包括一个简短的概念证明 - 可以在此处找到有关如何最好地提交错误报告的一些指导 这里.
另请阅读: