Google предлагает до 450 000 долларов за уязвимости в некоторых Android-приложениях - «Новости»

  • 10:30, 05-мая-2024
  • Заработок / Добавления стилей / Новости / Самоучитель CSS / Преимущества стилей
  • Эвелина
  • 0

Компания Google увеличивает вознаграждения за уязвимости удаленного выполнения кода в отдельных приложениях для Android в десять раз: с 30 000 до 300 000 долларов. Максимальное вознаграждение теперь и вовсе составляет 450 000 долларов.


Компания внесла изменения в свою bug bounty программу Mobile Vulnerability Rewards Program (Mobile VRP), запущенную  в прошлом году. Новые условия в первую очередь распространяются на приложения, которые компания относит к уровню Tier 1: сервисы Google Play, приложение Google Search для Android (AGSA), Google Cloud и Gmail.


Напомним, что основная цель Mobile VRP — ускорить процесс поиска и устранения слабых мест в приложениях для Android, разработанных или поддерживаемых самой Google. Под действие программы подпадают приложения, разработанные  при участии Google, исследуемые в Google, а также разработанные Google LLC, Red Hot Labs, Google Samples, Fitbit LLC, Nest Labs Inc, Waymo LLC и Waze.


Так, за уязвимости, которые могут привести к удаленному выполнению кода без взаимодействия с пользователем теперь можно получить 300 000 долларов США. А за проблемы, связанные с кражей конфиденциальных данных, компания будет платить до 75 000 долларов, если эксплоиты не требуют вмешательства пользователя и могут использоваться удаленно.


За выдающиеся по качеству отчеты, содержащие предлагаемый патч или иное эффективное решение проблемы, а также анализ первопричины уязвимости, помогающий выявить другие варианты проблемы, Google готова выплачивать даже больше. В итоге исследователи смогут заработать до 450 000 долларов за RCE-эксплоиты для приложений Tier 1.





Также Google увеличила максимальный размер вознаграждений до 150 000 долларов за уязвимости в приложениях Tier 2 (ПО, обрабатывающее пользовательские данные или взаимодействующее с приложениями и сервисами Google) и до 45 000 долларов за проблемы в приложениях Tier 3 (все остальные приложения, попадающие под действие программы).


Однако за некачественные отчеты, не содержащие точных и подробных описаний, багхантеры получат вдвое меньше. Так, хороший отчет должен содержать:



  • точные и подробные описания;

  • proof-of-concept эксплоит;

  • простые шаги для воспроизведения уязвимости;

  • четкую демонстрацию влияния уязвимости.


«Мы хотим добиться того, чтобы багхантеры тратили больше времени на составление и доработку своих отчетов. Чтобы стимулировать их к этому, мы ввели новый модификатор вознаграждения, чтобы поощрять багхантеров за дополнительное время и усилия, которые они тратят на создание высококачественных отчетов, наглядно демонстрирующих воздействие найденных ими уязвимостей», — рассказывает инженер Google Кристоффер Бласяк (Kristoffer Blasiak).


Также он добавляет, что за год работы программы Mobile VRP компания получила более 40 отчетов об уязвимостях и выплатила исследователям около 100 000 долларов.


Компания Google увеличивает вознаграждения за уязвимости удаленного выполнения кода в отдельных приложениях для Android в десять раз: с 30 000 до 300 000 долларов. Максимальное вознаграждение теперь и вовсе составляет 450 000 долларов. Компания внесла изменения в свою bug bounty программу Mobile Vulnerability Rewards Program (Mobile VRP), запущенную в прошлом году. Новые условия в первую очередь распространяются на приложения, которые компания относит к уровню Tier 1: сервисы Google Play, приложение Google Search для Android (AGSA), Google Cloud и Gmail. Напомним, что основная цель Mobile VRP — ускорить процесс поиска и устранения слабых мест в приложениях для Android, разработанных или поддерживаемых самой Google. Под действие программы подпадают приложения, разработанные при участии Google, исследуемые в Google, а также разработанные Google LLC, Red Hot Labs, Google Samples, Fitbit LLC, Nest Labs Inc, Waymo LLC и Waze. Так, за уязвимости, которые могут привести к удаленному выполнению кода без взаимодействия с пользователем теперь можно получить 300 000 долларов США. А за проблемы, связанные с кражей конфиденциальных данных, компания будет платить до 75 000 долларов, если эксплоиты не требуют вмешательства пользователя и могут использоваться удаленно. За выдающиеся по качеству отчеты, содержащие предлагаемый патч или иное эффективное решение проблемы, а также анализ первопричины уязвимости, помогающий выявить другие варианты проблемы, Google готова выплачивать даже больше. В итоге исследователи смогут заработать до 450 000 долларов за RCE-эксплоиты для приложений Tier 1. Также Google увеличила максимальный размер вознаграждений до 150 000 долларов за уязвимости в приложениях Tier 2 (ПО, обрабатывающее пользовательские данные или взаимодействующее с приложениями и сервисами Google) и до 45 000 долларов за проблемы в приложениях Tier 3 (все остальные приложения, попадающие под действие программы). Однако за некачественные отчеты, не содержащие точных и подробных описаний, багхантеры получат вдвое меньше. Так, хороший отчет должен содержать: точные и подробные описания; proof-of-concept эксплоит; простые шаги для воспроизведения уязвимости; четкую демонстрацию влияния уязвимости. «Мы хотим добиться того, чтобы багхантеры тратили больше времени на составление и доработку своих отчетов. Чтобы стимулировать их к этому, мы ввели новый модификатор вознаграждения, чтобы поощрять багхантеров за дополнительное время и усилия, которые они тратят на создание высококачественных отчетов, наглядно демонстрирующих воздействие найденных ими уязвимостей», — рассказывает инженер Google Кристоффер Бласяк (Kristoffer Blasiak). Также он добавляет, что за год работы программы Mobile VRP компания получила более 40 отчетов об уязвимостях и выплатила исследователям около 100 000 долларов.

Другие новости


Рекомендуем

Комментарии (0)




Уважаемый посетитель нашего сайта!
Комментарии к данной записи отсутсвуют. Вы можете стать первым!