سال گذشته، برنامه پاداش باگ گوگل حداقل 12 میلیون دلار به محققانی که نقص های امنیتی را در محصولات و خدمات آن کشف کردند، اهدا کرد. این رقم به طور قابل توجهی بالاتر از 8,7 میلیون دلار پرداخت شده در سال 2021 است و انتظار می رود در سال های آینده رشد کند. این شرکت اکنون در حال گسترش تلاش های تحقیقاتی امنیتی خود با برنامه جدیدی است که برنامه های شخص ثالث را هدف قرار می دهد Android.
در اوایل این ماه، گوگل برنامه Bounty آسیب پذیری را به روز کرد Android و دستگاههای گوگل (VRP)، سیستم جدیدی را برای ارزیابی کیفیت گزارشهای باگ و افزایش حداکثر پاداش برای یافتن آسیبپذیریهای حیاتی به 15 دلار معرفی کردند. این شرکت در آن زمان توضیح داد که این کار رفع نقصهای امنیتی در تلفنها را آسانتر میکند. پیکسل، دستگاه های Google Nest و Fitbit و همچنین در سیستم عامل Android به موقع تر
این هفته، این شرکت برنامه پاداش آسیب پذیری موبایل (Mobile VRP) را راه اندازی کرد که محققان علاقه مند به بررسی امنیت برنامه های کاربردی را هدف قرار می دهد. Android، توسط Google یا سایر شرکت های متعلق به گروه Alphabet توسعه یافته است.
برنامه جدید برنامه های شخص ثالث را برای طبقه بندی می کند Android در سه سطح سطح اول شامل مهمترین برنامه ها مانند Google Play Servi استces، Google Chrome، Gmail، Chrome Remote Desktop، Google Cloud و AGSA (ویجت جستجوی Google در Android). لایه های دوم و سوم شامل برنامه هایی است که توسط بخش تحقیقاتی گوگل، Google Samples، Red Hot Labs، Nest Labs، Waymo و Waze توسعه یافته اند.
در مورد انواع آسیبپذیریهای امنیتی تحت پوشش برنامه Mobile VRP، گوگل میگوید که بیشتر علاقهمند به باگهایی است که اجازه اجرای کد دلخواه و سرقت دادهها را میدهند، بنابراین مهندسان امنیتی شرکت این گزارشها را در اولویت قرار میدهند. در عین حال، این شرکت همچنین به دنبال کسب اطلاعات در مورد سایر نقصهای امنیتی است که میتوانند به عنوان بخشی از زنجیرههای بهرهبرداری مورد سوء استفاده قرار گیرند، از جمله آسیبپذیریهای پیمایش مسیر یا پیمایش بایگانی فشرده، مجوزهای یتیم، و تغییر مسیرهای عمدی که میتوانند برای راهاندازی غیرصادرات استفاده شوند. اجزای برنامه
پاداش به شدت آسیبپذیریهای کشفشده و برنامههای آسیبدیده بستگی دارد، و Google مایل است تا 30 دلار برای کشف آسیبپذیریهایی بپردازد که به مهاجمان اجازه میدهد کد از راه دور بدون دخالت کاربر اجرا کنند. بالاترین پاداش برای کشف آسیبپذیریهای جدی در برنامه های سطح 000 و 2 مطابق با 3 دلار و 25 دلار هستند. حداقل مبلغ برای یک گزارش واجد شرایط 000 دلار است، اما Google ممکن است برای گزارشهای استثنایی پاداشی معادل 20 دلار اعمال کند.
برنامه جایزه رفع اشکال گوگل یکی از بزرگترین برنامه ها در صنعت فناوری است که تنها در سال 2022 12 میلیون دلار به محققان امنیتی پرداخت شده است. بزرگترین پاداش 605 دلار برای متخصصی است که زنجیره ای از سوء استفاده ها را از پنج آسیب پذیری در آن کشف کرده است. Android.
محققان امنیتی علاقه مند به VRP موبایل می توانند جزئیات بیشتری را در اینجا بیابند اینجا. Google میگوید گزارشها باید مختصر باشند و در صورت امکان شامل یک اثبات مختصر از مفهوم باشند - برخی از راهنماییها در مورد نحوه ارائه بهترین گزارشهای اشکال را میتوانید در اینجا پیدا کنید. اینجا.
همچنین بخوانید: