Google запустила новую программу вознаграждений за уязвимости, Mobile Vulnerability Rewards Program (Mobile VRP), в рамках которой исследователи смогут получить до 30 000 долларов за баги, обнаруженные в Android-приложениях.
В компании говорят, что основная цель Mobile VRP — ускорить процесс поиска и устранения слабых мест в приложениях для Android, разработанных или поддерживаемых Google. Под действие Mobile VRP подпадают приложения, разработанные при участии Google, исследуемые в Google, а также разработанные Google LLC, Red Hot Labs, Google Samples, Fitbit LLC, Nest Labs Inc, Waymo LLC и Waze.
Также в список приложений вошли так называемые «Tier 1» приложения для Android, включая:
- Google Play Services (com.google.android.gms);
- AGSA( com.google.android.googlequicksearchbox);
- Google Chrome (com.android.chrome);
- Google Cloud (com.google.android.apps.cloudconsole);
- Gmail (com.google.android.gm);
- Chrome Remote Desktop (com.google.chromeremotedesktop).
Среди уязвимостей, за которые можно получить вознаграждение: выполнение произвольного кода, кража конфиденциальных данных, а также различные баги, которые можно объединить в цепочку с другими уязвимостями и добиться аналогичного воздействия.
Исследователи смогут получить до 30 000 долларов США за удаленное выполнение кода без взаимодействия с пользователем, а также до 7 500 долларов за ошибки, позволяющие удаленно похитить конфиденциальные данные.
С момента запуска своей первой программы bug bounty в 2010 году Google выплатила тысячам исследователей более 50 000 000 долларов за обнаружение более чем 15 000 уязвимостей. Только в 2022 году суммарный объем выплат составил 12 000 000 долларов, включая рекордное вознаграждение в размере 605 000 долларов, которого удостоился ИБ-исследователь gzobqq, нашедший цепочку эксплоитов из пяти отдельных уязвимостей в Android.
