Prošle je godine Googleov bug bounty program dodijelio više od 12 miliona dolara istraživačima koji su identificirali sigurnosne propuste u njegovim proizvodima i uslugama. Ta je brojka značajno porasla u odnosu na 8,7 miliona dolara plaćenih 2021. i očekuje se da će se nastaviti povećavati u nadolazećim godinama. Tvrtka sada proširuje svoje napore u istraživanju sigurnosti s novim programom koji cilja na Android aplikacije.
Ranije ovog mjeseca, Google je ažurirao Android i Google Devices Vulnerability Reward Program (VRP) s novim sustavom ocjenjivanja kvalitete za izvješća o greškama i povećao maksimalnu nagradu za pronalaženje kritičnih ranjivosti na 15.000 dolara. Tvrtka je tada objasnila da bi to olakšalo pravovremeno popravljanje sigurnosnih propusta na Pixel telefonima, Google Nest uređajima i Fitbit nosivim uređajima, kao i na Android OS-u.
Ovog tjedna tvrtka je pokrenula Program nagrađivanja ranjivosti mobilnih uređaja (Mobile VRP), koji je usmjeren na istraživače zainteresirane za probiranje i promicanje sigurnosti Android aplikacija koje su izradile Google ili druge tvrtke u vlasništvu Alphabeta.
Novi program klasificira Android aplikacije u tri razine. Prva razina uključuje najvažnije aplikacije, kao što su Google Play usluge, Google Chrome, Gmail, Chrome Remote Desktop, Google Cloud i AGSA (widget Google Search u Androidu). Aplikacije razine dva i razine 3 uključuju one koje je razvio Googleov istraživački odjel, Google Samples, Red Hot Labs, Nest Labs, Waymo i Waze.
Što se tiče vrsta sigurnosnih ranjivosti koje se kvalificiraju za Mobile VRP program, Google kaže da ga najviše zanimaju bugovi koji dopuštaju proizvoljno izvršavanje koda i krađu podataka, pa će njegovi sigurnosni inženjeri dati prioritet takvim izvješćima. S tim u vezi, tvrtka također želi saznati više o drugim sigurnosnim nedostacima koji bi se mogli koristiti kao dio lanaca iskorištavanja, uključujući ranjivosti prolaza putanje ili zip putanje, propuštena dopuštenja i preusmjeravanja namjere koja bi se mogla koristiti za pokretanje neizvezenih komponenti aplikacije .
Nagrade se razlikuju ovisno o ozbiljnosti otkrivenog propusta i zahvaćenih aplikacija, a Google je spreman platiti čak 30.000 dolara za pronalaženje propusta koji napadačima omogućuju izvršavanje koda na daljinu bez interakcije korisnika. Najznačajnije nagrade za pronalaženje ozbiljnog nedostatka u aplikacijama razine 2 i razine 3 iznose 25.000 USD, odnosno 20.000 USD. Najniži iznos koji se dodjeljuje za kvalificirajuće izvješće je 500 USD, ali Google također može primijeniti bonus od 1000 USD za iznimne zapise.
U povezanim vijestima, istraživači su ove sedmice detaljno opisali novi brute-force napad koji može zaobići zaključavanje otisaka prstiju na Android telefonima. Utječe na nekoliko popularnih modela tvrtki kao što su Samsung, Xiaomi i OnePlus, a exploit se može izvesti u relativno kratkom vremenu i s relativno jeftinim hardverom.