Pronašli ste bug na Googleovom proizvodu? Prijavite ga i zaradite

Prošle je godine Googleov bug bounty program dodijelio više od 12 milijuna dolara istraživačima koji su identificirali sigurnosne propuste u njegovim proizvodima i uslugama. Ta je brojka značajno porasla u odnosu na 8,7 milijuna dolara plaćenih 2021. i očekuje se da će se nastaviti povećavati u nadolazećim godinama. Tvrtka sada proširuje svoje napore u istraživanju sigurnosti s novim programom koji cilja na Android aplikacije.

Ranije ovog mjeseca, Google je ažurirao Android i Google Devices Vulnerability Reward Program (VRP) s novim sustavom ocjenjivanja kvalitete za izvješća o greškama i povećao maksimalnu nagradu za pronalaženje kritičnih ranjivosti na 15.000 dolara. Tvrtka je tada objasnila da bi to olakšalo pravovremeno popravljanje sigurnosnih propusta na Pixel telefonima, Google Nest uređajima i Fitbit nosivim uređajima, kao i na Android OS-u.

Ovog tjedna tvrtka je pokrenula Program nagrađivanja ranjivosti mobilnih uređaja (Mobile VRP), koji je usmjeren na istraživače zainteresirane za probiranje i promicanje sigurnosti Android aplikacija koje su izradile Google ili druge tvrtke u vlasništvu Alphabeta.

Novi program klasificira Android aplikacije u tri razine. Prva razina uključuje najvažnije aplikacije, kao što su Google Play usluge, Google Chrome, Gmail, Chrome Remote Desktop, Google Cloud i AGSA (widget Google Search u Androidu). Aplikacije razine dva i razine 3 uključuju one koje je razvio Googleov istraživački odjel, Google Samples, Red Hot Labs, Nest Labs, Waymo i Waze.

Što se tiče vrsta sigurnosnih ranjivosti koje se kvalificiraju za Mobile VRP program, Google kaže da ga najviše zanimaju bugovi koji dopuštaju proizvoljno izvršavanje koda i krađu podataka, pa će njegovi sigurnosni inženjeri dati prioritet takvim izvješćima. S tim u vezi, tvrtka također želi saznati više o drugim sigurnosnim nedostacima koji bi se mogli koristiti kao dio lanaca iskorištavanja, uključujući ranjivosti prolaza putanje ili zip putanje, propuštena dopuštenja i preusmjeravanja namjere koja bi se mogla koristiti za pokretanje neizvezenih komponenti aplikacije .

Nagrade se razlikuju ovisno o ozbiljnosti otkrivenog propusta i zahvaćenih aplikacija, a Google je spreman platiti čak 30.000 dolara za pronalaženje propusta koji napadačima omogućuju izvršavanje koda na daljinu bez interakcije korisnika. Najznačajnije nagrade za pronalaženje ozbiljnog nedostatka u aplikacijama razine 2 i razine 3 iznose 25.000 USD, odnosno 20.000 USD. Najniži iznos koji se dodjeljuje za kvalificirajuće izvješće je 500 USD, ali Google također može primijeniti bonus od 1000 USD za iznimne zapise.

U povezanim vijestima, istraživači su ovog tjedna detaljno opisali novi brute-force napad koji može zaobići zaključavanje otisaka prstiju na Android telefonima. Utječe na nekoliko popularnih modela tvrtki kao što su Samsung, Xiaomi i OnePlus, a exploit se može izvesti u relativno kratkom vremenu i s relativno jeftinim hardverom.

IZVOR

Svi korisnici koji žele koristiti ili prenositi sadržaj s Bajtbox portala moraju se pridržavati sljedećih pravila: Citiranje Izvora: Obavezno je jasno i precizno navesti izvor informacija, uključujući naziv autora (ako dostupno), naslov članka ili teksta te datum objave. Poveznica na Originalni Tekst: Svaka upotreba sadržaja mora uključivati aktivnu poveznicu (link) koja vodi na izvorni tekst na Bajtbox portalu. Pravna Odgovornost: Kršenje ovih pravila može imati pravne posljedice sukladno zakonima o autorskim pravima.

Pretplatite se
Obavijesti o
guest

0 Comments
Inline Feedbacks
Pogledaj sve komentare
0
Pogledaj komentare ili komentirajx