Новости Google запускает программу bug bounty для своих Android-приложений

  • Автор темы BOOX
  • Дата начала

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
29.134
Репутация
11.695
Реакции
61.907
RUB
50
Google новую программу вознаграждений за уязвимости, (Mobile VRP).


В рамках которой исследователи смогут получить до 30 000 долларов за баги, обнаруженные в Android-приложениях.

В компании говорят, что основная цель Mobile VRP — ускорить процесс поиска и устранения слабых мест в приложениях для Android, разработанных или поддерживаемых Google.

p6rTeurTaYS0nkWP8aPe2e4o9fVZxOHpsYQTJXhatEHyj94U-8E-a45G-PcTDXiKCbsxEBtYveCI9yrW8GXFoydugGg6FryRpFuQjfFinl65eDGyT0X2ryETBDW7zGPDppQESSbcMLZCWPG8Wd74XF17d4LKCCcvGf47iq79AH1rZFu7ZoCgAPnEzUU-7x0bPq698AOK_Ks0HwfxL87_kXsYQYwgkjt4DFf1chuWsNccPzFSxwwsLUMyuwivOcQ7bKaSOOJFbwM-C87G8CZR3rDl9vlPgPCh8ZkB-KlBdxo-F00Ab5czeAXaMnSXFbqV3vA4Vc5GLmnPv72I77bNtWMllbfqxOiPMI6DibajVNs8ZvHzy8J8J3RWhX0tRXZbMFmChGPfsT4HUXN9X9w7XNS-OpnLRSggADx4QW-6jjBqpJ52q4CohPCFh86_plNccKb3-Q-OdOg-lQE1pUo5FrCRBoJnnzJ1y97yNJNeMd9Re3DfDc5oLUWwsAahOgx04uYWt68NbkA0DI8FN2DfF38veHKETDBovBjGP6BOPdS5k4ELr5W5cQvWPnXbkHUV3fDyHMuDYWlLNHPPpLYN9K1h07tjwmeMfQVGDfjjkp0wqL17wsuyZ3XYDnzpifVVsNOGCGXfuf9MEjM_lBH-XpYwO9iNDO1oCLf4xegwwzCnat_8awIuhfsGQ4k55x5Z9-L4NAvHt2X9UUO4I0x5nLRRgsPqnzW4Chg7dFud81PWM_lfCohpKcv1PQlgNsc24-xXeC-J64u4zgOOumIUlHMmtTbITTOt9Z0JM6FNMhy_Gw8IJZZ0NABTtTUekTwcXvdwmsZPpaaJdXjHoDILcaail3erS2yP9IPHzHquE5u27ri0gI0267VaBLTrBb2ft93JgqzUPnjFV3D4WBD9Fx8y89oMBeGkz79yy6D1gfsnL1_14wOqSHVPjkw8qx5WOab4_EZMvOa7ksH_rI


Под действие Mobile VRP подпадают приложения, разработанные при участии Google, исследуемые в Google, а также разработанные Google LLC, Red Hot Labs, Google Samples, Fitbit LLC, Nest Labs Inc, Waymo LLC и Waze.


Также в список приложений вошли так называемые «Tier 1» приложения для Android, включая:

  • Google Play Services (com.google.android.gms);

  • AGSA( com.google.android.googlequicksearchbox);

  • Google Chrome (com.android.chrome);

  • Google Cloud (com.google.android.apps.cloudconsole);

  • Gmail (com.google.android.gm);

  • Chrome Remote Desktop (com.google.chromeremotedesktop).

Среди уязвимостей, за которые можно получить вознаграждение: выполнение произвольного кода, кража конфиденциальных данных, а также различные баги, которые можно объединить в цепочку с другими уязвимостями и добиться аналогичного воздействия.

Исследователи смогут получить до 30 000 долларов США за удаленное выполнение кода без взаимодействия с пользователем, а также до 7 500 долларов за ошибки, позволяющие удаленно похитить конфиденциальные данные.

С момента запуска своей первой программы bug bounty в 2010 году Google выплатила тысячам исследователей более 50 000 000 долларов за обнаружение более чем 15 000 уязвимостей. Только в 2022 году суммарный объем выплат составил 12 000 000 долларов, включая рекордное вознаграждение в размере 605 000 долларов, которого удостоился ИБ-исследователь gzobqq, нашедший цепочку эксплоитов из пяти отдельных уязвимостей в Android.

 
Круто, посмотрим потом!
 
Сверху Снизу