Vitin e kaluar, programi i shpërblimit të gabimeve të Google u dha të paktën 12 milionë dollarë studiuesve që zbuluan të meta sigurie në produktet dhe shërbimet e tij. Kjo shifër është dukshëm më e lartë se 8,7 milionë dollarët e paguara në vitin 2021 dhe pritet të rritet në vitet e ardhshme. Kompania tani po zgjeron përpjekjet e saj të kërkimit të sigurisë me një program të ri që synon aplikacionet e palëve të treta Android.
Në fillim të këtij muaji, Google përditësoi Programin e Bounty Vulnerability në Android dhe pajisjet Google (VRP), duke prezantuar një sistem të ri për vlerësimin e cilësisë së raporteve të gabimeve dhe duke rritur shpërblimin maksimal për gjetjen e dobësive kritike në 15 dollarë. Kompania shpjegoi në atë kohë se kjo do ta bënte më të lehtë rregullimin e defekteve të sigurisë në telefona Pixel, pajisjet Google Nest dhe Fitbit, si dhe në sistemin operativ Android në një kohë më të mirë.
Këtë javë, kompania lançoi Programin e Shpërblimeve të Vulnerability Mobile (Mobile VRP), i cili synon studiuesit e interesuar në hetimin e sigurisë së aplikacioneve për Android, i zhvilluar nga Google ose kompani të tjera që i përkasin grupit Alphabet.
Aplikacioni i ri klasifikon aplikacionet e palëve të treta për Android në tre nivele. Niveli i parë përfshin aplikacionet më të rëndësishme, si Google Play Services, Google Chrome, Gmail, Chrome Remote Desktop, Google Cloud dhe AGSA (miniaplikacioni i Kërkimit të Google në Android). Niveli i dytë dhe i tretë përfshin aplikacionet e zhvilluara nga divizioni i kërkimit të Google, Google Samples, Red Hot Labs, Nest Labs, Waymo dhe Waze.
Sa i përket llojeve të dobësive të sigurisë që mbulohen nga programi Mobile VRP, Google thotë se është më i interesuar për gabimet që lejojnë ekzekutimin arbitrar të kodit dhe vjedhjen e të dhënave, kështu që inxhinierët e sigurisë së kompanisë do t'u japin përparësi atyre raporteve. Në të njëjtën kohë, kompania po kërkon gjithashtu të mësojë për të meta të tjera sigurie që mund të shfrytëzohen si pjesë e zinxhirëve të shfrytëzimit, duke përfshirë dobësitë e kalimit të rrugëve ose të kalimit të arkivit zip, lejet jetime dhe ridrejtimet e qëllimshme që mund të përdoren për të nisur të paeksportuara komponentët e aplikacionit.
Shpërblimi varet nga ashpërsia e dobësive të zbuluara dhe aplikacioneve të prekura, dhe Google është i gatshëm të paguajë deri në 30 dollarë për zbulimin e dobësive që lejojnë sulmuesit të ekzekutojnë kodin në distancë pa ndërhyrjen e përdoruesit. Shpërblimet më të larta për zbulimin e dobësive serioze në nivelin 000 dhe 2 aplikacione janë 3 dollarë dhe 25 dollarë në përputhje. Shuma minimale për një raport të kualifikuar është 000 dollarë, por Google mund të aplikojë gjithashtu një bonus prej 20 dollarësh për raporte të jashtëzakonshme.
Programi i shpërblimit të rregullimit të gabimeve të Google është një nga më të mëdhenjtë në industrinë e teknologjisë, me 2022 milionë dollarë të paguar për studiuesit e sigurisë vetëm në vitin 12. Shpërblimi më i madh është 605 dollarë për një ekspert që zbuloi një zinxhir shfrytëzimesh të pesë dobësive në Android.
Studiuesit e sigurisë të interesuar në Mobile VRP mund të gjejnë më shumë detaje këtu këtu. Google thotë se raportet duhet të jenë koncize dhe të përfshijnë një provë të shkurtër të konceptit nëse është e mundur - disa udhëzime se si të dorëzohen më mirë raportet e gabimeve mund të gjenden këtu këtu.
Lexoni gjithashtu:
- Samsung vendosi të linte Google si motorin e paracaktuar të kërkimit
- 2GIS është hequr nga Google Play