Անցյալ տարի Google-ի bug bounty ծրագիրը առնվազն 12 միլիոն դոլար է շնորհել հետազոտողներին, ովքեր հայտնաբերել են անվտանգության թերություններ իր արտադրանքներում և ծառայություններում: Այս ցուցանիշը զգալիորեն գերազանցում է 8,7 թվականին վճարված 2021 միլիոն դոլարը և ակնկալվում է, որ կաճի առաջիկա տարիներին: Ընկերությունն այժմ ընդլայնում է անվտանգության հետազոտությունների իր ջանքերը նոր ծրագրով, որն ուղղված է երրորդ կողմի հավելվածներին Android.
Այս ամսվա սկզբին Google-ը թարմացրել է «Vulnerability Bounty» ծրագիրը Android և Google սարքերը (VRP), ներկայացնելով վրիպակների հաշվետվությունների որակի գնահատման նոր համակարգ և կարևորագույն խոցելիություններ գտնելու համար առավելագույն պարգևը հասցնելով $15-ի: Ընկերությունն այն ժամանակ բացատրեց, որ դա կհեշտացնի հեռախոսների անվտանգության թերությունները շտկելը: Կարող է անկախ ղեկավարվել, Google Nest և Fitbit սարքեր, ինչպես նաև օպերացիոն համակարգում Android ավելի ժամանակին:
Այս շաբաթ ընկերությունը գործարկել է բջջային խոցելիության պարգևների ծրագիրը (Mobile VRP), որը ուղղված է այն հետազոտողներին, ովքեր հետաքրքրված են հավելվածների անվտանգության հետաքննմամբ։ Android, մշակված Google-ի կամ Alphabet խմբին պատկանող այլ ընկերությունների կողմից։
Նոր հավելվածը դասակարգում է երրորդ կողմի հավելվածները Android երեք մակարդակներում. Առաջին մակարդակը ներառում է ամենակարևոր հավելվածները, օրինակ՝ Google Play Servi-նces, Google Chrome, Gmail, Chrome Remote Desktop, Google Cloud և AGSA (Google Search վիջեթը Android) Երկրորդ և երրորդ մակարդակները ներառում են Google-ի հետազոտական ստորաբաժանման, Google Samples-ի, Red Hot Labs-ի, Nest Labs-ի, Waymo-ի և Waze-ի կողմից մշակված հավելվածները:
Ինչ վերաբերում է անվտանգության խոցելիության տեսակներին, որոնք ծածկված են Mobile VRP ծրագրով, Google-ն ասում է, որ իրեն ամենից շատ հետաքրքրում են սխալները, որոնք թույլ են տալիս կամայական կոդի կատարումը և տվյալների գողությունը, ուստի ընկերության անվտանգության ինժեներները առաջնահերթություն կտան այդ հաշվետվություններին: Միևնույն ժամանակ, ընկերությունը փնտրում է նաև անվտանգության այլ թերությունների մասին, որոնք կարող են օգտագործվել որպես շահագործման շղթաների մաս, ներառյալ՝ ուղու անցման կամ zip արխիվի անցման խոցելիությունները, ծնողազուրկ թույլտվությունները և կանխամտածված վերահղումները, որոնք կարող են օգտագործվել չարտահանվող գործարկելու համար: կիրառական բաղադրիչներ.
Պարգևը կախված է հայտնաբերված խոցելիության և ազդակիր հավելվածների ծանրությունից, և Google-ը պատրաստ է վճարել մինչև 30 դոլար խոցելիության հայտնաբերման համար, որոնք թույլ են տալիս հարձակվողներին կատարել հեռակա կոդը առանց օգտվողի միջամտության: 000-րդ մակարդակում լուրջ խոցելիություններ հայտնաբերելու համար ամենաբարձր պարգևները: իսկ 2 հայտը համապատասխանաբար 3$ եւ 25$: Որակավորված հաշվետվության նվազագույն գումարը $000 է, սակայն Google-ը կարող է նաև կիրառել $20 բոնուս բացառիկ հաշվետվությունների համար:
Google-ի վրիպակների շտկման պարգևավճարային ծրագիրը խոշորագույններից մեկն է տեխնոլոգիական արդյունաբերության մեջ, 2022 միլիոն դոլար վճարվել է անվտանգության հետազոտողներին միայն 12 թվականին: Ամենամեծ պարգևը կազմում է 605 դոլար փորձագետի համար, ով հայտնաբերել է 000 խոցելիությունների շղթա: Android.
Mobile VRP-ով հետաքրքրված անվտանգության հետազոտողները կարող են ավելի շատ մանրամասներ գտնել այստեղ այստեղ. Google-ն ասում է, որ հաշվետվությունները պետք է լինեն հակիրճ և ներառեն հայեցակարգի հակիրճ ապացույց, եթե հնարավոր է. որոշ ուղեցույցներ, թե ինչպես լավագույնս ներկայացնել սխալների մասին հաշվետվությունները, կարող եք գտնել այստեղ: այստեղ.
Կարդացեք նաև.