Im vergangenen Jahr vergab das Bug-Bounty-Programm von Google mindestens 12 Millionen US-Dollar an Forscher, die Sicherheitslücken in seinen Produkten und Diensten entdeckten. Diese Zahl ist deutlich höher als die im Jahr 8,7 ausgezahlten 2021 Millionen US-Dollar und wird in den kommenden Jahren voraussichtlich steigen. Das Unternehmen erweitert nun seine Sicherheitsforschungsbemühungen mit einem neuen Programm, das auf Anwendungen von Drittanbietern abzielt Android.
Anfang dieses Monats hat Google das Vulnerability Bounty Program aktualisiert Android und Google-Geräte (VRP), die ein neues System zur Bewertung der Qualität von Fehlerberichten einführen und die maximale Belohnung für das Auffinden kritischer Schwachstellen auf 15 US-Dollar erhöhen. Das Unternehmen erklärte damals, dass dies die Behebung von Sicherheitslücken in Telefonen erleichtern würde Pixel, Google Nest- und Fitbit-Geräten sowie im Betriebssystem Android in einer zeitnaheren Weise.
Diese Woche hat das Unternehmen das Mobile Vulnerability Rewards Program (Mobile VRP) gestartet, das sich an Forscher richtet, die an der Untersuchung der Sicherheit von Anwendungen interessiert sind Android, entwickelt von Google oder anderen Unternehmen der Alphabet-Gruppe.
Die neue App klassifiziert Apps von Drittanbietern für Android auf drei Ebenen. Die erste Ebene umfasst die wichtigsten Anwendungen, wie zum Beispiel Google Play Services, Google Chrome, Gmail, Chrome Remote Desktop, Google Cloud und AGSA (das Google-Such-Widget in Android). Die zweite und dritte Ebene umfassen Apps, die von der Forschungsabteilung von Google, Google Samples, Red Hot Labs, Nest Labs, Waymo und Waze, entwickelt wurden.
Was die Arten von Sicherheitslücken angeht, die vom Mobile VRP-Programm abgedeckt werden, sagt Google, dass es vor allem an Fehlern interessiert ist, die die Ausführung willkürlichen Codes und Datendiebstahl ermöglichen, weshalb die Sicherheitsingenieure des Unternehmens diesen Meldungen Priorität einräumen werden. Gleichzeitig möchte das Unternehmen auch mehr über andere Sicherheitslücken erfahren, die als Teil von Exploit-Ketten ausgenutzt werden können, darunter Path-Traversal- oder Zip-Archiv-Traversal-Schwachstellen, verwaiste Berechtigungen und absichtliche Weiterleitungen, die zum Starten nicht exportierter Dateien verwendet werden können Anwendungskomponenten.
Die Belohnung hängt vom Schweregrad der entdeckten Schwachstellen und den betroffenen Anwendungen ab. Google ist bereit, bis zu 30 US-Dollar für die Entdeckung von Schwachstellen zu zahlen, die es Angreifern ermöglichen, Remotecode ohne Benutzereingriff auszuführen. Die höchste Belohnung für die Entdeckung schwerwiegender Schwachstellen in Anträge der Stufen 000 und 2 kosten jeweils 3 US-Dollar bzw. 25 US-Dollar. Der Mindestbetrag für eine qualifizierte Meldung beträgt 000 US-Dollar. Für außergewöhnliche Meldungen kann Google jedoch auch einen Bonus von 20 US-Dollar gewähren.
Googles Kopfgeldprogramm zur Fehlerbehebung ist eines der größten in der Technologiebranche. Allein im Jahr 2022 wurden 12 Millionen US-Dollar an Sicherheitsforscher ausgezahlt. Die größte Belohnung beträgt 605 US-Dollar für einen Experten, der eine Exploit-Kette aus fünf Schwachstellen entdeckt hat Android.
Weitere Details finden Sicherheitsforscher, die sich für Mobile VRP interessieren, hier hier. Laut Google sollten Berichte prägnant sein und nach Möglichkeit einen kurzen Machbarkeitsnachweis enthalten. Eine Anleitung, wie Sie Fehlerberichte am besten einreichen, finden Sie hier hier.
Lesen Sie auch:
- Samsung beschlossen, Google als Standardsuchmaschine zu belassen
- 2GIS wurde aus Google Play entfernt