Google стартира bug bounty програма за своите приложения за Android
Гугъл започва Mobile Vulnerability Rewards Program (Mobile VRP) – нова bug bounty стратегия, която ще заплаща на откривателите по сигурността за открити дефекти в приложенията за Android на компанията.
„ Развълнувани сме да обявим новата стратегия Mobile VRP! Търсим хора, които да ни оказват помощ да открием и отстраним уязвимости в нашите мобилни приложения. “
съобщи Гугъл VRP в Twitter
Както обявиха от компанията, главната цел на Mobile VRP е да форсира процеса на намиране и премахване на недостатъци в приложенията за Android от първа страна, създадени или поддържани от Гугъл.
Приложенията в обсега на Mobile VRP включват тези, създадени от „ Гугъл LLC, Developed with Гугъл, Research at Гугъл, Red Hot Labs, Гугъл Samples, Fitbit LLC, Nest Labs Inc, Waymo LLC и Waze “.
Списъкът на включените в обсега приложения съдържа и това, което Гугъл разказва като приложения за Android от „ равнище 1 “, което включва следните приложения:
Гугъл Play Services (com.google.android.gms) AGSA( com.google.android.googlequicksearchbox) Google Chrome (com.android.chrome) Google Cloud (com.google.android.apps.cloudconsole) Gmail (com.google.android.gm) Chrome Remote Desktop (com.google.chromeremotedesktop)Уязвимостите, които могат да бъдат квалифицирани, включват такива, които разрешават случайно осъществяване на код (ACE) и кражба на чувствителни данни, както и недостатъци, които могат да бъдат свързани с други дефекти, с цел да доведат до сходно влияние.
Гугъл декларира, че ще възнагради най-много с 30 000 $ за отдалечено осъществяване на код без взаимоотношение с потребителя и до 7500 $ за неточности, позволяващи кражба на чувствителни данни от разстояние.
„ Mobile VRP е самопризнание за приноса и упоритата работа на откривателите, които оказват помощ на Гугъл да усъвършенства сигурността на приложенията си за Android от първа страна. Целта на програмата е да се понижат уязвимостите в приложенията и по този метод потребителите и техните данни да бъдат в сигурност. “
заявиха от Googlе
През август 2022 година компанията разгласи, че ще заплаща на откриватели в региона на сигурността, с цел да откриват неточности в последните оповестени версии на софтуера с отворен код на Гугъл (Google OSS), в това число най-чувствителните ѝ планове като Bazel, Angular, Golang, Protocol buffers и Fuchsia.
Откакто започва първата си VRP преди повече от десетилетие, през 2010 година, Гугъл е възнаградила с над 50 милиона $ хиляди откриватели по сигурността по целият свят за докладването на над 15 000 уязвимости.
През 2022 година компанията е раздала 12 милиона $, в това число рекордното погашение на 605 000 $ за открити пет обособени неточности в сигурността на Android, докладвани от откривател с прякор „ gzobqq “, което е и най-високото в историята на Android VRP.
Една година преди този момент същият откривател разкри друга сериозни експлойти в Android, като тогава завоюва 157 000 $ – предходният връх за премия в историята на Android VRP по това време.
