Google запустила новую программу вознаграждений за найденные уязвимости — Mobile Vulnerability Rewards Program (Mobile VRP). Исследователям будут платить за выявленные бреши в приложениях для Android.
Интернет-гигант сообщил о новой инициативе в Twitter. Аккаунт Google VRP (Google Bug Hunters) опубликовал твит следующего содержания:
«Мы рады представить общему вниманию Mobile VRP. Ищем багхантеров, которые помогут нам найти и устранить уязвимости в мобильных приложениях».
Основная задача Mobile VRP, по словам Google, — ускорить процесс обнаружения и устранения опасных дыр в стороннем софте для Android-устройств. В «зону покрытия» Mobile VRP войдут программы от самой Google, Red Hot Labs, Fitbit, Nest Labs, Waymo и Waze.
Кроме того, багхантеры будут искать бреши в софте, включающем следующие пакеты и программы:
- Google Play Services (com.google.android.gms)
- AGSA( com.google.android.googlequicksearchbox)
- Google Chrome (com.android.chrome)
- Google Cloud (com.google.android.apps.cloudconsole)
- Gmail (com.google.android.gm)
- Chrome Remote Desktop (com.google.chromeremotedesktop)
Особое внимание будут уделять уязвимостям, допускающим выполнение кода, кражу конфиденциальных данных и тем, которые можно использовать в связке. За возможность удалённого выполнения кода без взаимодействия с пользователем Google выплатит максимальную сумму — 30 тысяч долларов. Бреши, приводящие к краже данных, принесут исследователям до 7500 долларов.
| Категория | 1) RCE/Без взаимодействия с целью | 2) Юзер должен пройти по ссылке | 3) Юзер должен установить вредонос | 4) Атакующий должен находиться в той же сети |
| Выполнение кода | $30,000 | $15,000 | $4,500 | $2,250 |
| Кража данных | $7,500 | $4,500 | $2,250 | $750 |
| Другие бреши | $7,500 | $4,500 | $2,250 | $750 |
