реклама
В прошлом году компания Google выплатила сторонним исследователям $12 млн в рамках программы поиска багов в приложениях. Годом ранее это число составляло $8,7 млн, а в ближайшие годы выплаты наверняка будут расти. Google расширяет программу, включая в неё Android-приложения собственной разработки.
Ранее в мае в программу поиска уязвимостей устройств, Android и Google (VRP) была добавлена новая система оценки качества отчётов об ошибках. Вознаграждение за критические уязвимости подняли до $15000. Компания считает, что это упростит и ускорит поиск уязвимостей в аппаратах Pixel, Google Nest и носимых устройствах Fitbit, в Android.
реклама
Теперь была представлена программа Mobile Vulnerability Rewards Program (Mobile VRP), в рамках которой будут искать уязвимости в приложениях для Android собственной разработки Google. Приложения разделены на три уровня. В первый входят такие важные, как Google Play Services, Google Chrome, Gmail, Chrome Remote Desktop, Google Cloud и виджет поиска на Android. На втором и третьем уровнях находятся разработки подразделений Google Samples, Red Hot Labs, Nest Labs, Waymo и Waze.
Больше всего Google хочет найти уязвимости, позволяющие выполнять произвольный код и красть данные. Размер награды зависит от степени серьёзности уязвимостей. Google готова платить до $30000 за нахождение возможности выполнять произвольный код дистанционно без взаимодействия с пользователем. На втором и третьем уровнях максимальная награда составляет $25000 и $20000 соответственно. Минимальная награда равна $500.
В прошлом году самая большая выплата Google была $605000. Столько стоила цепочка эксплойтов, в состав которой вошли пять уязвимостей Android, пишет Techspot.
Недавно появилась информация, согласна которой брутфорс-атака позволяет обойти защиту сканером отпечатка пальцев на Android-устройствах.