Xakep #305. Многошаговые SQL-инъекции
Компания Google увеличивает вознаграждения за уязвимости удаленного выполнения кода в отдельных приложениях для Android в десять раз: с 30 000 до 300 000 долларов. Максимальное вознаграждение теперь и вовсе составляет 450 000 долларов.
Компания внесла изменения в свою bug bounty программу Mobile Vulnerability Rewards Program (Mobile VRP), запущенную в прошлом году. Новые условия в первую очередь распространяются на приложения, которые компания относит к уровню Tier 1: сервисы Google Play, приложение Google Search для Android (AGSA), Google Cloud и Gmail.
Напомним, что основная цель Mobile VRP — ускорить процесс поиска и устранения слабых мест в приложениях для Android, разработанных или поддерживаемых самой Google. Под действие программы подпадают приложения, разработанные при участии Google, исследуемые в Google, а также разработанные Google LLC, Red Hot Labs, Google Samples, Fitbit LLC, Nest Labs Inc, Waymo LLC и Waze.
Так, за уязвимости, которые могут привести к удаленному выполнению кода без взаимодействия с пользователем теперь можно получить 300 000 долларов США. А за проблемы, связанные с кражей конфиденциальных данных, компания будет платить до 75 000 долларов, если эксплоиты не требуют вмешательства пользователя и могут использоваться удаленно.
За выдающиеся по качеству отчеты, содержащие предлагаемый патч или иное эффективное решение проблемы, а также анализ первопричины уязвимости, помогающий выявить другие варианты проблемы, Google готова выплачивать даже больше. В итоге исследователи смогут заработать до 450 000 долларов за RCE-эксплоиты для приложений Tier 1.
Также Google увеличила максимальный размер вознаграждений до 150 000 долларов за уязвимости в приложениях Tier 2 (ПО, обрабатывающее пользовательские данные или взаимодействующее с приложениями и сервисами Google) и до 45 000 долларов за проблемы в приложениях Tier 3 (все остальные приложения, попадающие под действие программы).
Однако за некачественные отчеты, не содержащие точных и подробных описаний, багхантеры получат вдвое меньше. Так, хороший отчет должен содержать:
- точные и подробные описания;
- proof-of-concept эксплоит;
- простые шаги для воспроизведения уязвимости;
- четкую демонстрацию влияния уязвимости.
«Мы хотим добиться того, чтобы багхантеры тратили больше времени на составление и доработку своих отчетов. Чтобы стимулировать их к этому, мы ввели новый модификатор вознаграждения, чтобы поощрять багхантеров за дополнительное время и усилия, которые они тратят на создание высококачественных отчетов, наглядно демонстрирующих воздействие найденных ими уязвимостей», — рассказывает инженер Google Кристоффер Бласяк (Kristoffer Blasiak).
Также он добавляет, что за год работы программы Mobile VRP компания получила более 40 отчетов об уязвимостях и выплатила исследователям около 100 000 долларов.