Google начала платить до $450 тысяч за ошибки RCE в некоторых Android-приложениях

Google увеличила вознаграждение за сообщения об уязвимостях удалённого выполнения кода в некоторых приложениях Android в десять раз — с $30 тысяч до $300 тысяч. Компания внесла эти изменения в Программу вознаграждений за уязвимости мобильных устройств (Mobile Vulnerability Reward Program, Mobile VRP). Они применяются к приложениям уровня 1.

В этот список входят сервисы Google Play, приложение Android Google Search (AGSA), Google Cloud и Gmail. 

Google также хочет, чтобы исследователи безопасности сосредоточились на недостатках, которые могут привести к краже конфиденциальных данных, и готова платить $75 тысяч за эксплойты, которые не требуют взаимодействия с пользователем и могут использоваться удалённо.

Если отчёт включает предлагаемое исправление или эффективное устранение уязвимости, а также анализ первопричин, помогающий найти другие её варианты, то компания будет платить в 1,5 раза больше общей суммы вознаграждения, что позволит исследователям заработать до $450 тысяч за обнаружение RCE.

Они смогут претендовать на половину от суммы вознаграждения, если в отчётах нет точных и подробных описаний, эксплойта, простых шагов для надёжного воспроизведения уязвимости, наглядной демонстрации её влияния. 

В правила также внесли некоторые более мелкие изменения. Например, модификатор 2x для SDK теперь встроен в назначение обычных вознаграждений.  

Google представила Mobile VRP в мае прошлого года. За год компания получила более 40 действительных отчётов об ошибках безопасности и выплатила около $100 тысяч в качестве вознаграждения. Всего за прошлый год Google выплатила $10 млн по своей глобальной программе вознаграждений.

Источник: habr.com

0 0 голоса
Рейтинг новости
0
0
Подписаться
Уведомить о
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии