去年,Google的漏洞賞金計畫向發現其產品和服務中安全漏洞的研究人員獎勵了至少 12 萬美元。這一數字明顯高於 8,7 年支付的 2021 萬美元,預計未來幾年還會成長。該公司目前正在透過一項新計劃擴大其安全研究工作,該計劃針對第三方應用程式 Android.
本月早些時候,Google更新了漏洞賞金計劃 Android 和Google設備(VRP),引入了一個新的系統來評估錯誤報告的質量,並將發現關鍵漏洞的最高獎勵提高到15 美元。該公司當時解釋說,這將使修復手機中的安全漏洞變得更加容易 像素、Google Nest 和 Fitbit 設備以及作業系統 Android 更及時地。
本週,該公司推出了行動漏洞獎勵計畫(Mobile VRP),該計畫針對有興趣調查應用程式安全性的研究人員 Android,由 Google 或屬於 Alphabet 集團的其他公司開發。
新應用程式對第三方應用程式進行了分類 Android 在三個層面上。第一層包括最重要的應用程序,例如 Google Play Services、Google Chrome、Gmail、Chrome 遠端桌面、Google Cloud 和 AGSA(Google 搜尋小工具) Android)。第二層和第三層包括Google研究部門、Google Samples、Red Hot Labs、Nest Labs、Waymo 和 Waze 開發的應用程式。
至於 Mobile VRP 計劃涵蓋的安全漏洞類型,谷歌表示,它最感興趣的是允許任意代碼執行和數據竊取的漏洞,因此該公司的安全工程師將優先處理這些報告。 同時,該公司還希望了解可作為漏洞利用鏈的一部分加以利用的其他安全漏洞,包括路徑遍歷或 zip 存檔遍歷漏洞、孤立權限以及可用於啟動非導出的故意重定向應用程序組件。
獎勵取決於所發現漏洞的嚴重程度和受影響的應用程序,谷歌願意為發現允許攻擊者在無需用戶干預的情況下執行遠程代碼的漏洞支付最高 30 美元。發現嚴重漏洞的最高獎勵為 000 級和 2 份申請分別為 3 美元和 25 美元。 合格報告的最低金額為 000 美元,但 Google 也可能會為特殊報告申請 20 美元的獎金。
谷歌的錯誤修復賞金計畫是科技業最大的計畫之一,光是2022 年就向安全研究人員支付了12 萬美元。其中最大的獎勵是一位專家,他發現了605 個漏洞的一系列漏洞利用程序,獲得了000 美元的獎勵。 Android.
對移動 VRP 感興趣的安全研究人員可以在此處找到更多詳細信息 這裡. 谷歌表示,報告應該簡明扼要,並在可能的情況下包括一個簡短的概念證明 - 可以在此處找到有關如何最好地提交錯誤報告的一些指導 這裡.
另請閱讀: