Pagājušajā gadā Google kļūdu novēršanas programma piešķīra vismaz 12 miljonus USD pētniekiem, kuri atklāja drošības nepilnības tās produktos un pakalpojumos. Šis skaitlis ir ievērojami lielāks nekā 8,7. gadā izmaksātie 2021 miljoni ASV dolāru, un ir paredzams, ka tas pieaugs nākamajos gados. Uzņēmums tagad paplašina savus drošības pētījumu centienus ar jaunu programmu, kas paredzēta trešo pušu lietojumprogrammām Android.
Šī mēneša sākumā Google atjaunināja ievainojamības veltes programmu Android un Google ierīcēm (VRP), ieviešot jaunu sistēmu kļūdu ziņojumu kvalitātes novērtēšanai un palielinot maksimālo atlīdzību par kritisko ievainojamību atrašanu līdz USD 15 000. Uzņēmums toreiz skaidroja, ka tas atvieglos tālruņu drošības trūkumu novēršanu. pixel, Google Nest un Fitbit ierīcēs, kā arī operētājsistēmā Android savlaicīgāk.
Šonedēļ uzņēmums uzsāka Mobile Vulnerability Rewards programmu (Mobile VRP), kuras mērķauditorija ir pētnieki, kuri ir ieinteresēti izpētīt lietojumprogrammu drošību Android, ko izstrādājusi Google vai citi uzņēmumi, kas pieder Alfabēta grupai.
Jaunā lietotne klasificē trešo pušu lietotnes Android trīs līmeņos. Pirmajā līmenī ir iekļautas svarīgākās lietojumprogrammas, piemēram, Google Play Services, Google Chrome, Gmail, Chrome attālā darbvirsma, Google Cloud un AGSA (Google meklēšanas logrīks Android). Otrajā un trešajā līmenī ietilpst lietotnes, ko izstrādājusi Google pētniecības nodaļa Google Samples, Red Hot Labs, Nest Labs, Waymo un Waze.
Runājot par drošības ievainojamību veidiem, ko aptver Mobile VRP programma, Google saka, ka to visvairāk interesē kļūdas, kas pieļauj patvaļīgu koda izpildi un datu zādzību, tāpēc uzņēmuma drošības inženieri piešķirs šiem ziņojumiem prioritāti. Tajā pašā laikā uzņēmums vēlas uzzināt arī par citiem drošības trūkumiem, ko var izmantot kā daļu no izmantošanas ķēdēm, tostarp ceļu šķērsošanas vai zip arhīva šķērsošanas ievainojamības, bezsaimnieka atļaujas un apzinātu novirzīšanu, ko var izmantot, lai palaistu neeksportētus. lietojumprogrammas sastāvdaļas.
Atlīdzība ir atkarīga no atklāto ievainojamību smaguma pakāpes un ietekmētajām lietojumprogrammām, un Google ir gatavs maksāt līdz USD 30 000 par ievainojamību atklāšanu, kas ļauj uzbrucējiem izpildīt attālu kodu bez lietotāja iejaukšanās. Visaugstākā atlīdzība par nopietnu ievainojamību atklāšanu 2. un 3. līmeņa pieteikumi ir atbilstoši USD 25 000 un USD 20 000. Minimālā summa kvalificētam ziņojumam ir 500 ASV dolāru, taču Google var piemērot arī 1 ASV dolāru prēmiju par ārkārtas ziņojumiem.
Google kļūdu labošanas atlīdzības programma ir viena no lielākajām tehnoloģiju nozarē, un 2022. gadā vien drošības pētniekiem tika izmaksāti 12 miljoni USD. Lielākā atlīdzība ir 605 000 USD ekspertam, kurš atklāja ekspluatācijas ķēdi no piecām ievainojamībām. Android.
Drošības pētnieki, kas interesējas par mobilo VRP, var atrast sīkāku informāciju šeit šeit. Google saka, ka ziņojumiem jābūt kodolīgiem un, ja iespējams, jāiekļauj īss koncepcijas pierādījums — daži norādījumi par to, kā vislabāk iesniegt ziņojumus par kļūdu, ir atrodami šeit. šeit.
Lasi arī:
- Samsung nolēma atstāt Google kā noklusējuma meklētājprogrammu
- 2GIS ir noņemts no pakalpojuma Google Play