Новости Нашёл ошибку – купил «трёшку» в Москве: Google повышает выплаты багхантерам до $450 000

NewsMaker

I'm just a script
Премиум
13,850
20
8 Ноя 2022
«Корпорация добра» объявила рекордные награды за критические RCE в Android-приложениях.


z425xy94ssvh5p2fv114mtb77ew16lkd.jpg


Компания Google Для просмотра ссылки Войди или Зарегистрируйся за сообщения об уязвимостях, позволяющих успешно выполнить удалённый код ( RCE ) в Android -приложениях, повысив максимальную денежную выплату за выдающиеся отчёты до $450 000.

Обновления коснулись Для просмотра ссылки Войди или Зарегистрируйся (Mobile Vulnerability Reward Program или Mobile VRP), которая теперь включает так называемые приложения первого уровня, в том числе сервисы Google Play, поисковое приложение Google Search, Google Cloud и Gmail.

В рамках программы Mobile VRP компания теперь предлагает $300 000 за уязвимости, позволяющие выполнять код удалённо и без участия пользователя. Примечательно, что раньше сумма за обнаружение такого рода уязвимостей составляла в десять раз меньше — $30 000. Более того, если отчёт о баге будет исключительного качества и будет включать анализ первопричины, предложения по исправлению и прочие рекомендации, исследователи смогут получить до $450 000, упомянутые выше.

Также было объявлено о вознаграждении в размере $75 000 за эксплойты, выполнение которых делает возможным кражу чувствительных данных без взаимодействия с пользователем. Отчёты низкого качества, которые не предоставляют точное и детальное описание уязвимости, доказательство концепции, простые шаги для воспроизведения уязвимости и ясное демонстрирование воздействий бага, будут оплачены в половинном размере.

В структуре вознаграждений также произошли изменения: теперь двукратный модификатор для SDK уже включён в стандартные вознаграждения. Это увеличивает общую сумму выплат и упрощает принятие решений экспертными группами.

В целом, таблица вознаграждений Google сейчас выглядит следующим образом, не включая повышенные вознаграждения за отчёты исключительного качества:


vutbmitj8zy2hqto5yf1t5vptj63nyv6.png


Кристоффер Блазиак, инженер по информационной безопасности Google, подчеркнул, что программа Mobile VRP, запущенная в мае прошлого года, уже принесла значительные результаты: «Самое главное, что мы получили более 40 действительных отчётов об ошибках безопасности, а вознаграждение исследователям вплотную приблизилось к отметке в 100 тысяч долларов».
 
Источник новости
www.securitylab.ru

Похожие темы