Google увеличила вознаграждение за сообщения об уязвимостях удалённого выполнения кода в некоторых приложениях Android в десять раз — с $30 тысяч до $300 тысяч. Компания внесла эти изменения в Программу вознаграждений за уязвимости мобильных устройств (Mobile Vulnerability Reward Program, Mobile VRP). Они применяются к приложениям уровня 1.
В этот список входят сервисы Google Play, приложение Android Google Search (AGSA), Google Cloud и Gmail.
Google также хочет, чтобы исследователи безопасности сосредоточились на недостатках, которые могут привести к краже конфиденциальных данных, и готова платить $75 тысяч за эксплойты, которые не требуют взаимодействия с пользователем и могут использоваться удалённо.
Если отчёт включает предлагаемое исправление или эффективное устранение уязвимости, а также анализ первопричин, помогающий найти другие её варианты, то компания будет платить в 1,5 раза больше общей суммы вознаграждения, что позволит исследователям заработать до $450 тысяч за обнаружение RCE.
Они смогут претендовать на половину от суммы вознаграждения, если в отчётах нет точных и подробных описаний, эксплойта, простых шагов для надёжного воспроизведения уязвимости, наглядной демонстрации её влияния.
В правила также внесли некоторые более мелкие изменения. Например, модификатор 2x для SDK теперь встроен в назначение обычных вознаграждений.
Google представила Mobile VRP в мае прошлого года. За год компания получила более 40 действительных отчётов об ошибках безопасности и выплатила около $100 тысяч в качестве вознаграждения. Всего за прошлый год Google выплатила $10 млн по своей глобальной программе вознаграждений.
Источник: habr.com