Vorig jaar kende het bugbountyprogramma van Google minstens 12 miljoen dollar toe aan onderzoekers die beveiligingsfouten in zijn producten en diensten ontdekten. Dit cijfer is aanzienlijk hoger dan de 8,7 miljoen dollar die in 2021 werd uitbetaald en zal naar verwachting de komende jaren stijgen. Het bedrijf breidt nu zijn inspanningen op het gebied van beveiligingsonderzoek uit met een nieuw programma dat zich richt op toepassingen van derden Android.
Eerder deze maand heeft Google het Vulnerability Bounty Program bijgewerkt Android en Google-apparaten (VRP), waarbij een nieuw systeem werd geïntroduceerd voor het evalueren van de kwaliteit van bugrapporten en de maximale beloning voor het vinden van kritieke kwetsbaarheden werd verhoogd tot $ 15. Het bedrijf legde destijds uit dat dit het gemakkelijker zou maken om beveiligingsfouten in telefoons op te lossen pixel, Google Nest- en Fitbit-apparaten, evenals in het besturingssysteem Android op een meer tijdige manier.
Deze week lanceerde het bedrijf het Mobile Vulnerability Rewards Program (Mobile VRP), dat zich richt op onderzoekers die geïnteresseerd zijn in het onderzoeken van de veiligheid van applicaties voor Android, ontwikkeld door Google of andere bedrijven die tot de Alphabet-groep behoren.
De nieuwe app classificeert apps van derden voor Android op drie niveaus. Het eerste niveau omvat de belangrijkste applicaties, zoals Google Play Services, Google Chrome, Gmail, Chrome Remote Desktop, Google Cloud en AGSA (de Google Search-widget in Android). Het tweede en derde niveau omvatten apps die zijn ontwikkeld door de onderzoeksafdeling van Google, Google Samples, Red Hot Labs, Nest Labs, Waymo en Waze.
Wat betreft de soorten beveiligingsproblemen die worden gedekt door het Mobile VRP-programma, zegt Google dat het het meest geïnteresseerd is in bugs die willekeurige code-uitvoering en gegevensdiefstal mogelijk maken, dus de beveiligingstechnici van het bedrijf zullen prioriteit geven aan deze rapporten. Tegelijkertijd is het bedrijf ook op zoek naar andere beveiligingsfouten die kunnen worden uitgebuit als onderdeel van exploitketens, waaronder kwetsbaarheden voor het doorlopen van paden of zip-archieven, verweesde machtigingen en opzettelijke omleidingen die kunnen worden gebruikt om niet-geëxporteerde bestanden te starten. applicatie componenten.
De beloning is afhankelijk van de ernst van de ontdekte kwetsbaarheden en de getroffen applicaties, en Google is bereid tot $ 30 te betalen voor de ontdekking van kwetsbaarheden waarmee aanvallers op afstand code kunnen uitvoeren zonder tussenkomst van de gebruiker. niveau 000 en 2 aanvragen zijn $ 3 en $ 25 in overeenstemming. Het minimumbedrag voor een gekwalificeerd rapport is $ 000, maar Google kan ook een bonus van $ 20 toepassen voor uitzonderlijke rapporten.
Het bountyprogramma van Google voor het oplossen van bugs is een van de grootste in de technologie-industrie, met 2022 miljoen dollar betaald aan beveiligingsonderzoekers alleen al in 12. De grootste beloning is 605 dollar voor een expert die een reeks exploits van vijf kwetsbaarheden ontdekt in Android.
Beveiligingsonderzoekers die geïnteresseerd zijn in Mobile VRP kunnen hier meer details vinden hier. Google zegt dat rapporten beknopt moeten zijn en indien mogelijk een korte proof of concept moeten bevatten - enkele richtlijnen voor het indienen van bugrapporten zijn hier te vinden hier.
Lees ook: