Noong nakaraang taon, ang bug bounty program ng Google ay nagbigay ng hindi bababa sa $12 milyon sa mga mananaliksik na nakatuklas ng mga bahid sa seguridad sa mga produkto at serbisyo nito. Ang bilang na ito ay makabuluhang mas mataas kaysa sa $8,7 milyon na binayaran noong 2021 at inaasahang lalago sa mga darating na taon. Pinapalawak na ngayon ng kumpanya ang mga pagsusumikap sa pagsasaliksik sa seguridad gamit ang isang bagong programa na nagta-target ng mga application ng third-party para sa Android.
Mas maaga sa buwang ito, in-update ng Google ang Vulnerability Bounty Program sa Android at mga Google device (VRP), na nagpapakilala ng bagong sistema para sa pagsusuri sa kalidad ng mga ulat ng bug at pagpapataas ng pinakamataas na gantimpala para sa paghahanap ng mga kritikal na kahinaan sa $15. Ipinaliwanag ng kumpanya noon na gagawin nitong mas madaling ayusin ang mga bahid ng seguridad sa mga telepono Pixel, Google Nest at Fitbit device, gayundin sa operating system Android sa mas napapanahong paraan.
Sa linggong ito, inilunsad ng kumpanya ang Mobile Vulnerability Rewards Program (Mobile VRP), na nagta-target sa mga mananaliksik na interesadong mag-imbestiga sa seguridad ng mga application para sa Android, na binuo ng Google o iba pang kumpanyang kabilang sa pangkat ng Alphabet.
Inuri ng bagong app ang mga third-party na app para sa Android sa tatlong antas. Kasama sa unang antas ang pinakamahalagang application, gaya ng Google Play Services, Google Chrome, Gmail, Chrome Remote Desktop, Google Cloud at AGSA (ang Google Search widget sa Android). Kasama sa ikalawa at ikatlong tier ang mga app na binuo ng research division ng Google, Google Samples, Red Hot Labs, Nest Labs, Waymo, at Waze.
Tungkol sa mga uri ng mga kahinaan sa seguridad na sakop ng programang Mobile VRP, sinabi ng Google na pinakainteresado ito sa mga bug na nagpapahintulot sa arbitrary na pagpapatupad ng code at pagnanakaw ng data, kaya uunahin ng mga inhinyero ng seguridad ng kumpanya ang mga ulat na iyon. Kasabay nito, naghahanap din ang kumpanya na matutunan ang tungkol sa iba pang mga bahid sa seguridad na maaaring samantalahin bilang bahagi ng mga chain ng pagsasamantala, kabilang ang mga kahinaan sa traversal ng path o zip archive, mga naulilang pahintulot, at sinasadyang mga pag-redirect na maaaring magamit upang ilunsad ang hindi na-export. mga bahagi ng aplikasyon.
Nakadepende ang reward sa kalubhaan ng mga natuklasang kahinaan at sa mga apektadong application, at handang magbayad ang Google ng hanggang $30 para sa pagtuklas ng mga kahinaan na nagbibigay-daan sa mga attacker na magsagawa ng malayuang code nang walang interbensyon ng user. Ang pinakamataas na reward para sa pagtuklas ng mga seryosong kahinaan sa antas 000 at 2 mga aplikasyon ay $3 at $25 alinsunod. Ang pinakamababang halaga para sa isang kwalipikadong ulat ay $000, ngunit maaari ring maglapat ang Google ng bonus na $20 para sa mga pambihirang ulat.
Ang bug-fixing bounty program ng Google ay isa sa pinakamalaki sa industriya ng teknolohiya, na may $2022 milyon na ibinayad sa mga mananaliksik sa seguridad noong 12 lamang. Ang pinakamalaking reward ay $605 para sa isang eksperto na nakatuklas ng isang hanay ng mga pagsasamantala mula sa limang mga kahinaan sa Android.
Ang mga mananaliksik ng seguridad na interesado sa Mobile VRP ay makakahanap ng higit pang mga detalye dito dito. Sinasabi ng Google na ang mga ulat ay dapat na maigsi at may kasamang maikling patunay ng konsepto kung maaari - ilang gabay sa kung paano pinakamahusay na magsumite ng mga ulat ng bug ay matatagpuan dito dito.
Basahin din:
- Samsung nagpasya na iwanan ang Google bilang default na search engine
- Inalis ang 2GIS sa Google Play