Viime vuonna Googlen bug bounty -ohjelma myönsi vähintään 12 miljoonaa dollaria tutkijoille, jotka löysivät tietoturvapuutteita sen tuotteissa ja palveluissa. Tämä luku on huomattavasti korkeampi kuin vuonna 8,7 maksettu 2021 miljoonaa dollaria, ja sen odotetaan kasvavan tulevina vuosina. Yritys laajentaa nyt tietoturvatutkimustoimintaansa uudella ohjelmalla, joka kohdistuu kolmansien osapuolien sovelluksiin Android.
Aiemmin tässä kuussa Google päivitti Vulnerability Bounty -ohjelman Android ja Google-laitteet (VRP), ottamalla käyttöön uuden järjestelmän virheraporttien laadun arvioimiseksi ja nostamalla kriittisten haavoittuvuuksien löytämisen maksimipalkkion 15 000 dollariin. Yritys selitti tuolloin, että tämä helpottaisi puhelimien tietoturvavirheiden korjaamista pixel, Google Nest- ja Fitbit-laitteissa sekä käyttöjärjestelmässä Android oikea-aikaisemmin.
Tällä viikolla yhtiö lanseerasi Mobile Vulnerability Rewards -ohjelman (Mobile VRP), joka on suunnattu tutkijoille, jotka ovat kiinnostuneita tutkimaan sovellusten turvallisuutta Android, jonka on kehittänyt Google tai muut Alphabet-ryhmään kuuluvat yritykset.
Uusi sovellus luokittelee kolmansien osapuolien sovellukset Android kolmella tasolla. Ensimmäinen taso sisältää tärkeimmät sovellukset, kuten Google Play Services, Google Chrome, Gmail, Chrome Remote Desktop, Google Cloud ja AGSA (Google Search -widget Android). Toinen ja kolmas taso sisältävät Googlen tutkimusosaston Google Samplesin, Red Hot Labsin, Nest Labsin, Waymon ja Wazen kehittämiä sovelluksia.
Mitä tulee Mobile VRP -ohjelman kattamiin tietoturvahaavoittuvuuksiin, Google sanoo olevansa kiinnostunut eniten virheistä, jotka sallivat mielivaltaisen koodin suorittamisen ja tietovarkauksien, joten yrityksen tietoturvainsinöörit priorisoivat nämä raportit. Samaan aikaan yritys etsii myös tietoa muista tietoturvapuutteista, joita voidaan hyödyntää osana hyväksikäyttöketjuja, mukaan lukien polun läpikulku- tai zip-arkiston läpikulkuhaavoittuvuudet, orvot käyttöoikeudet ja tahalliset uudelleenohjaukset, joita voidaan käyttää viemättömien tuotteiden käynnistämiseen. sovelluskomponentit.
Palkkio riippuu löydettyjen haavoittuvuuksien vakavuudesta ja haavoittuvista sovelluksista, ja Google on valmis maksamaan jopa 30 000 dollaria sellaisten haavoittuvuuksien löytämisestä, joiden avulla hyökkääjät voivat suorittaa etäkoodia ilman käyttäjän toimia. Korkeimmat palkinnot vakavien haavoittuvuuksien löytämisestä Tasojen 2 ja 3 hakemukset ovat 25 000 dollaria ja 20 000 dollaria. Hyväksytyn raportin vähimmäissumma on 500 dollaria, mutta Google voi myös soveltaa 1 000 dollarin bonusta poikkeuksellisista raporteista.
Googlen virheenkorjauspalkkioohjelma on yksi suurimmista teknologia-alalla, ja turvallisuustutkijoille maksettiin 2022 miljoonaa dollaria pelkästään vuonna 12. Suurin palkinto on 605 000 dollaria asiantuntijalle, joka löysi ketjun hyväksikäyttöä viidestä haavoittuvuudesta Android.
Mobile VRP:stä kiinnostuneet tietoturvatutkijat voivat löytää lisätietoja täältä täällä. Google sanoo, että raporttien tulee olla ytimekkäitä ja niissä on mahdollisuuksien mukaan oltava lyhyt todiste konseptista. Ohjeita virheilmoitusten lähettämiseen on tässä. täällä.
Lue myös: