Förra året delade Googles bug-bounty-program ut minst 12 miljoner dollar till forskare som upptäckt säkerhetsbrister i sina produkter och tjänster. Denna siffra är betydligt högre än de 8,7 miljoner dollar som betalades ut 2021 och förväntas växa under de kommande åren. Företaget utökar nu sina säkerhetsforskningsinsatser med ett nytt program som riktar sig till tredjepartsapplikationer för Android.
Tidigare denna månad uppdaterade Google Vulnerability Bounty Program i Android och Google-enheter (VRP), introducerar ett nytt system för att utvärdera kvaliteten på felrapporter och öka den maximala belöningen för att hitta kritiska sårbarheter till $15 000. Företaget förklarade då att detta skulle göra det lättare att åtgärda säkerhetsbrister i telefoner pixel, Google Nest- och Fitbit-enheter, samt i operativsystemet Android på ett mer lägligt sätt.
Denna vecka lanserade företaget Mobile Vulnerability Rewards Program (Mobile VRP), som riktar sig till forskare som är intresserade av att undersöka säkerheten för applikationer för Android, utvecklad av Google eller andra företag som tillhör Alphabet-gruppen.
Den nya appen klassificerar appar från tredje part för Android på tre nivåer. Den första nivån innehåller de viktigaste applikationerna, som Google Play Services, Google Chrome, Gmail, Chrome Remote Desktop, Google Cloud och AGSA (Google Search-widgeten i Android). Den andra och tredje nivån inkluderar appar utvecklade av Googles forskningsavdelning, Google Samples, Red Hot Labs, Nest Labs, Waymo och Waze.
När det gäller de typer av säkerhetsbrister som täcks av Mobile VRP-programmet, säger Google att det är mest intresserad av buggar som tillåter godtycklig kodexekvering och datastöld, så företagets säkerhetsingenjörer kommer att prioritera dessa rapporter. Samtidigt vill företaget också lära sig om andra säkerhetsbrister som kan utnyttjas som en del av exploateringskedjor, inklusive sårbarheter för genomkörning av vägar eller zip-arkiv, föräldralösa behörigheter och avsiktliga omdirigeringar som kan användas för att starta icke-exporterade applikationskomponenter.
Belöningen beror på svårighetsgraden av de upptäckta sårbarheterna och de berörda applikationerna, och Google är villig att betala upp till 30 000 USD för upptäckten av sårbarheter som gör det möjligt för angripare att exekvera fjärrkod utan användaringripande. De högsta belöningarna för upptäckten av allvarliga sårbarheter i nivå 2 och 3 ansökningar är $25 000 och $20 000 i enlighet. Minimibeloppet för en kvalificerad rapport är 500 USD, men Google kan också tillämpa en bonus på 1 000 USD för exceptionella rapporter.
Googles program för buggfixning är ett av de största inom teknikbranschen, med 2022 miljoner dollar som betalades ut till säkerhetsforskare bara 12. Den största belöningen är 605 000 dollar för en expert som upptäckte en kedja av utnyttjande av fem sårbarheter i Android.
Säkerhetsforskare som är intresserade av Mobile VRP kan hitta mer information här här. Google säger att rapporterna bör vara kortfattade och om möjligt innehålla ett kort proof of concept - lite vägledning om hur man bäst skickar in felrapporter finns här här.
Läs också: