Компания Google запустила Mobile Vulnerability Rewards Program (Mobile VRP), новую программу вознаграждения за поиск уязвимостей, которая будет платить исследователям безопасности за недостатки, найденные в приложениях компании для Android.
«Мы рады объявить о новой программе Mobile VRP! Мы ищем багхантеров, которые помогут нам найти и устранить уязвимости в наших мобильных приложениях», — говорит Google VRP.
По словам компании, основная цель Mobile VRP — ускорить процесс поиска и устранения слабых мест в Android-приложениях, разработанных или поддерживаемых Google.
В сферу действия Mobile VRP входят приложения, разработанные компаниями Google LLC, Developed with Google, Research at Google, Red Hot Labs, Google Samples, Fitbit LLC, Nest Labs Inc, Waymo LLC и Waze.
В списке приложений, входящих в сферу действия, также есть приложения для Android, которые Google называет приложениями «первого уровня», к которым относятся следующие приложения (и названия их пакетов):
- Google Play Services (com.google.android.gms)
- AGSA (com.google.android.googlequicksearchbox)
- Google Chrome (com.android.chrome)
- Google Cloud (com.google.android.apps.cloudconsole)
- Gmail (com.google.android.gm)
- Chrome Remote Desktop (com.google.chromeremotedesktop)
К оплачиваемым уязвимостям относятся те, которые позволяют выполнить произвольный код (ACE) и похитить конфиденциальные данные, а также уязвимости, которые могут быть связаны с другими недостатками, которые могут привести к аналогичным последствиям.
К ним относятся неправильные разрешения, произвольная запись файлов, перенаправления намерений для запуска неэкспортируемых компонентов приложения, а также ошибки безопасности, вызванные небезопасным использованием отложенных намерений.
«Программа Mobile VRP отмечает вклад и усердную работу исследователей, которые помогают Google повысить уровень безопасности наших приложений для Android», — говорится в сообщении Google.
Цель программы — устранить уязвимости в собственных приложениях Android и тем самым обезопасить пользователей и их данные.
В августе 2022 года компания объявила, что будет платить исследователям безопасности за поиск ошибок в последних выпущенных версиях программного обеспечения Google с открытым исходным кодом (Google OSS), включая наиболее важные проекты, такие как Bazel, Angular, Golang, Protocol buffers и Fuchsia.
С момента запуска своего первого VRP более десяти лет назад, в 2010 году, компания Google выплатила более 50 миллионов долларов тысячам исследователей безопасности по всему миру за сообщения о более чем 15,000 уязвимостях.
В 2021 году Google выплатил $8.7 млн, а уже в 2022 оплатил $12 млн, включая рекордную выплату в размере $605,000 за цепочку эксплойтов для Android, состоящую из пяти отдельных ошибок безопасности, что является самым высоким показателем в истории Android VRP.
За год до этого тот же исследователь представил еще одну критически важную цепочку эксплойтов в Android, заработав еще $157,000 — на тот момент это был предыдущий рекорд в истории Android VRP.