Η Google εγκαινιάζει πρόγραμμα bug bounty για τις εφαρμογές Android της

Η Google κυκλοφόρησε το πρόγραμμα επιβράβευσης ευπάθειας για κινητά (Mobile VRP), ένα νέο πρόγραμμα επιβράβευσης σφαλμάτων που θα πληρώσει τους ερευνητές ασφαλείας για ελαττώματα που εντοπίζονται στις εφαρμογές Android της εταιρείας.

“Είμαστε ενθουσιασμένοι που ανακοινώνουμε το νέο Mobile VRP! Αναζητούμε buughunters για να μας βοηθήσουν να βρούμε και να διορθώσουμε ευπάθειες στις εφαρμογές μας για κινητά,” Google VRP

ανέβασε στο Twitter

.

Όπως είπε η εταιρεία, ο κύριος στόχος πίσω από το Mobile VRP είναι να επιταχύνει τη διαδικασία εύρεσης και διόρθωσης αδυναμιών σε εφαρμογές Android πρώτου κατασκευαστή, που έχουν αναπτυχθεί ή συντηρούνται από την Google.

Οι εφαρμογές που εμπίπτουν στο πεδίο εφαρμογής για το Mobile VRP περιλαμβάνουν αυτές που αναπτύχθηκαν από την Google LLC, Developed with Google, Research at Google, Red Hot Labs, Google Samples, Fitbit LLC, Nest Labs Inc, Waymo LLC και Waze.

Η λίστα των εφαρμογών εντός πεδίου περιέχει επίσης αυτό που η Google περιγράφει ως εφαρμογές Android “Tier 1”, οι οποίες περιλαμβάνουν τις ακόλουθες εφαρμογές (και τα ονόματα των πακέτων τους):

• Υπηρεσίες Google Play (com.google.android.gms)
• AGSA (com.google.android.googlequicksearchbox)
• Google Chrome (com.android.chrome)
• Google Cloud (com.google.android.apps.cloudconsole)
• Gmail (com.google.android.gm)
• Απομακρυσμένη επιφάνεια εργασίας Chrome (com.google.chromeremotedesktop)

Οι ευπάθειες που πληρούν τις προϋποθέσεις περιλαμβάνουν εκείνες που επιτρέπουν την αυθαίρετη εκτέλεση κώδικα (ACE) και την κλοπή ευαίσθητων δεδομένων, καθώς και αδυναμίες που θα μπορούσαν να συνδεθούν με άλλα ελαττώματα για να οδηγήσουν σε παρόμοιο αντίκτυπο.

Αυτά περιλαμβάνουν ορφανά δικαιώματα, ελαττώματα διέλευσης διαδρομής ή διαδρομής zip που οδηγούν σε αυθαίρετη εγγραφή αρχείων, ανακατευθύνσεις πρόθεσης που μπορούν να αξιοποιηθούν για την εκκίνηση μη εξαγόμενων στοιχείων εφαρμογής και σφάλματα ασφαλείας που προκαλούνται από μη ασφαλή χρήση προθέσεων σε εκκρεμότητα.

Η Google λέει ότι θα ανταμείψει έως και 30.000 $ για την απομακρυσμένη εκτέλεση κώδικα χωρίς αλληλεπίδραση με τον χρήστη και έως και 7.500 $ για σφάλματα που επιτρέπουν την κλοπή ευαίσθητων δεδομένων από απόσταση.

“Το Mobile VRP αναγνωρίζει τη συνεισφορά και τη σκληρή δουλειά των ερευνητών που βοηθούν την Google να βελτιώσει τη στάση ασφαλείας των εφαρμογών Android πρώτου κατασκευαστή”, η Google

είπε

.

«Ο στόχος του προγράμματος είναι να μετριάσει τα τρωτά σημεία σε εφαρμογές Android πρώτου κατασκευαστή, και έτσι να διατηρήσει τους χρήστες και τα δεδομένα τους ασφαλή».

Τον Αύγουστο του 2022, η εταιρεία ανακοίνωσε ότι θα πληρώσει τους ερευνητές ασφαλείας για να βρουν σφάλματα στις πιο πρόσφατες εκδόσεις του λογισμικού ανοιχτού κώδικα Google (Google OSS), συμπεριλαμβανομένων των πιο ευαίσθητων έργων της όπως τα Bazel, Angular, Golang, Protocol buffers και Fuchsia.

Από τότε που κυκλοφόρησε το πρώτο του VRP πριν από μια δεκαετία,

το 2010

η Google έχει ανταμείψει περισσότερα από 50 εκατομμύρια δολάρια σε χιλιάδες ερευνητές ασφαλείας σε όλο τον κόσμο για την αναφορά περισσότερων από 15.000 τρωτών σημείων.

Το 2022 απένειμε 12 εκατομμύρια δολάρια, συμπεριλαμβανομένης μιας πληρωμής ρεκόρ 605.000 δολαρίων για μια αλυσίδα εκμετάλλευσης Android με πέντε ξεχωριστά σφάλματα ασφαλείας που αναφέρθηκαν από το gzobqq, τα υψηλότερα στην ιστορία του Android VRP.

Ένα χρόνο πριν, ο ίδιος ερευνητής υπέβαλε μια άλλη κρίσιμη αλυσίδα εκμετάλλευσης στο Android, κερδίζοντας άλλα 157.000 $—το προηγούμενο ρεκόρ bounty bug στο ιστορικό Android VRP εκείνη την εποχή.