Sidste år tildelte Googles bug-bounty-program mindst 12 millioner dollars til forskere, der opdagede sikkerhedsfejl i deres produkter og tjenester. Dette tal er væsentligt højere end de 8,7 millioner dollars, der blev udbetalt i 2021 og forventes at vokse i de kommende år. Virksomheden udvider nu sin sikkerhedsforskningsindsats med et nyt program, der er rettet mod tredjepartsapplikationer til Android.
Tidligere på måneden opdaterede Google Vulnerability Bounty Program i Android og Google-enheder (VRP), der introducerer et nyt system til evaluering af kvaliteten af fejlrapporter og øger den maksimale belønning for at finde kritiske sårbarheder til $15. Virksomheden forklarede dengang, at dette ville gøre det lettere at rette sikkerhedsfejl i telefoner pixel, Google Nest og Fitbit-enheder samt i operativsystemet Android på en mere rettidig måde.
I denne uge lancerede virksomheden Mobile Vulnerability Rewards Program (Mobile VRP), som er rettet mod forskere, der er interesserede i at undersøge sikkerheden ved applikationer til Android, udviklet af Google eller andre virksomheder, der tilhører Alphabet-gruppen.
Den nye app klassificerer tredjepartsapps til Android på tre niveauer. Det første niveau inkluderer de vigtigste applikationer, såsom Google Play Services, Google Chrome, Gmail, Chrome Remote Desktop, Google Cloud og AGSA (Google Search-widget i Android). Det andet og tredje niveau inkluderer apps udviklet af Googles forskningsafdeling, Google Samples, Red Hot Labs, Nest Labs, Waymo og Waze.
Hvad angår de typer sikkerhedssårbarheder, der er dækket af Mobile VRP-programmet, siger Google, at det er mest interesseret i fejl, der tillader vilkårlig kodeudførelse og datatyveri, så virksomhedens sikkerhedsingeniører vil prioritere disse rapporter. Samtidig søger virksomheden også at lære om andre sikkerhedsfejl, der kan udnyttes som en del af udnyttelseskæder, herunder sti-gennemgang eller zip-arkiv-gennemgang sårbarheder, forældreløse tilladelser og bevidste omdirigeringer, der kan bruges til at starte ikke-eksporterede applikationskomponenter.
Belønningen afhænger af alvoren af de opdagede sårbarheder og de berørte applikationer, og Google er villig til at betale op til 30 USD for opdagelsen af sårbarheder, der gør det muligt for angribere at udføre fjernkode uden brugerindblanding. De højeste belønninger for opdagelsen af alvorlige sårbarheder i niveau 000 og 2 ansøgninger er $3 og $25 i overensstemmelse. Minimumsbeløbet for en kvalificeret rapport er $000, men Google kan også anvende en bonus på $20 for ekstraordinære rapporter.
Googles dusørprogram til fejlretning er et af de største i teknologiindustrien med 2022 millioner USD udbetalt til sikkerhedsforskere alene i 12. Den største belønning er 605 USD til en ekspert, der opdagede en kæde af udnyttelser fra fem sårbarheder i Android.
Sikkerhedsforskere, der er interesseret i Mobile VRP, kan finde flere detaljer her her. Google siger, at rapporter skal være kortfattede og indeholde et kort proof of concept, hvis det er muligt - nogle vejledninger om, hvordan man bedst indsender fejlrapporter, kan findes her her.
Læs også: