Google запустила программу поиска уязвимостей в Android-приложениях

Екатерина Быстрова 23 Мая 2023 - 09:16

Домашние пользователи

...

Google запустила новую программу вознаграждений за найденные уязвимости — Mobile Vulnerability Rewards Program (Mobile VRP). Исследователям будут платить за выявленные бреши в приложениях для Android.

Интернет-гигант сообщил о новой инициативе в Twitter. Аккаунт Google VRP (Google Bug Hunters) опубликовал твит следующего содержания:

«Мы рады представить общему вниманию Mobile VRP. Ищем багхантеров, которые помогут нам найти и устранить уязвимости в мобильных приложениях».

Основная задача Mobile VRP, по словам Google, — ускорить процесс обнаружения и устранения опасных дыр в стороннем софте для Android-устройств. В «зону покрытия» Mobile VRP войдут программы от самой Google, Red Hot Labs, Fitbit, Nest Labs, Waymo и Waze.

Кроме того, багхантеры будут искать бреши в софте, включающем следующие пакеты и программы:

Google Play Services (com.google.android.gms)
AGSA( com.google.android.googlequicksearchbox)
Google Chrome (com.android.chrome)
Google Cloud (com.google.android.apps.cloudconsole)
Gmail (com.google.android.gm)
Chrome Remote Desktop (com.google.chromeremotedesktop)

Особое внимание будут уделять уязвимостям, допускающим выполнение кода, кражу конфиденциальных данных и тем, которые можно использовать в связке. За возможность удалённого выполнения кода без взаимодействия с пользователем Google выплатит максимальную сумму — 30 тысяч долларов. Бреши, приводящие к краже данных, принесут исследователям до 7500 долларов.

Категория	1) RCE/Без взаимодействия с целью	2) Юзер должен пройти по ссылке	3) Юзер должен установить вредонос	4) Атакующий должен находиться в той же сети
Выполнение кода	$30,000	$15,000	$4,500	$2,250
Кража данных	$7,500	$4,500	$2,250	$750
Другие бреши	$7,500	$4,500	$2,250	$750

Следующая главная новость »

Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Екатерина Быстрова 19 Апреля 2024 - 11:44

Android Потенциально опасные программы Домашние пользователи

В Android 15 может появиться функция карантина подозрительных приложений

Сейчас для защиты Android-устройств Google использует функциональность Play Protect, которая сканирует девайс на наличие установленных подозрительных приложений. Тем не менее некоторому шпионскому софту удаётся обойти этот защитный механизм, поэтому в Android скоро может появиться возможность карантина подозрительных приложений.

На нововведение указал один из авторов издания Android Authority. Пока, судя по всему, оно находится в стадии бета-тестирования, поскольку впервые было замечено в сборке Android 14 QPR2 Beta 1.

Скорее всего, Google готовится выпустить фичу с выходом Android 15 или более поздних версий мобильной операционной системы. А пока разработчики обкатывают её на бета-версии Android 14.

Отмечается, что пока Google скрыла страницу «Quarantined Apps», предназначенную для разработчиков, однако пункт в настойках, отвечающий за карантин приложений, присутствует.

Эта функция будет работать по логике, схожей с работой инструмента Google Digital Wellbeing, который переводит софт в подвешенное состояние, чтобы избежать различных сбоев.

Попавшее в карантин приложение будет всё равно отображаться на домашнем экране, в лончере и настройках. При этом отдельные возможности таких программ будут ограничены: окна скрыты, уведомления заблокированы, активность и процессы заморожены.

У других программ не будет возможности отправлять запросы помещённому в карантин софту. К слову, для этого используются те же API, которые выполняют задачу приостановки приложений.

Для отправки программы в карантин нужны будут разрешения «QUARANTINE_APPS».