Google, belirli Android uygulamalarındaki uzaktan kod yürütme güvenlik açıklarını bildirmeye yönelik ödülleri on kat artırarak 30.000 ABD Dolarından 300.000 ABD Dolarına çıkardı; olağanüstü kalitede raporlar için maksimum ödül 450.000 ABD Dolarına ulaştı.
Şirket bu değişiklikleri Mobil Güvenlik Açığı Ödül Programında (Mobil VRP) yaptı ve bunlar, Tier 1 uygulamaları olarak tanımladığı uygulamalara uygulandı.
Kapsam dahilindeki uygulamaların listesi Google Play Hizmetlerini, Android Google Arama uygulamasını (AGSA), Google Cloud’u ve Gmail’i içerir.
Google artık güvenlik araştırmacılarının hassas veri hırsızlığına yol açabilecek kusurlara odaklanmasını istiyor ve artık kullanıcı etkileşimi gerektirmeyen ve uzaktan kullanılabilen açıklardan yararlanmalar için onlara 75.000 dolar ödeyecek.
Önerilen bir yama veya etkili bir hafifletme ve diğer sorun türlerini bulmaya yardımcı olacak bir temel neden analizini içeren olağanüstü kaliteli raporlar için şirket, toplam ödül miktarının 1,5 katını ödeyecek ve böylece araştırmacıların Kademe 1’deki bir RCE istismarı için 450.000 $’a kadar kazanmalarına olanak tanıyacak. Android uygulaması.
Ancak aşağıdakileri sağlamayan düşük kaliteli hata raporları için ödülün yarısını alacaklar:
- Doğru ve ayrıntılı açıklamalar,
- Kavram kanıtı niteliğindeki bir istismar,
- Güvenlik açığını güvenilir bir şekilde yeniden oluşturmak için kolay adımlar,
- Böceğin etkisinin açık bir göstergesi.
| Kategori | Uzak/Kullanıcı Etkileşimi Yok | Bağlantı tıklaması yoluyla | Kötü amaçlı uygulama aracılığıyla/varsayılan olmayan yapılandırmayla | Saldırgan aynı ağda |
|---|---|---|---|---|
| Kod Yürütme | 300.000$ | 150.000$ | 15.000$ | 9.000$ |
| Veri hırsızlığı | 75.000$ | 37.500$ | 9.000$ | 6.000$ |
| Diğer Vulnlar | 24.000$ | 9.000$ | 4.500$ | 2.400$ |
Google bilgi güvenliği mühendisi Kristoffer Blasiak, “Kurallarımızda bazı ek, daha küçük değişiklikler de yapıldı. Örneğin, SDK’lar için 2 kat değiştirici artık normal ödüllere dahil edildi. Bu, genel ödülleri artıracak ve panel kararlarını kolaylaştıracak” dedi. .
Google, şirketin Android uygulamalarındaki güvenlik açıkları için güvenlik araştırmacılarına ödeme yapmak amacıyla geçtiğimiz Mayıs ayında Mobil VRP’yi tanıttı.
Hata ödül programının ana hedefi, Google tarafından sağlanan veya geliştirilen birinci taraf Android uygulamalarındaki güvenlik zayıflıklarını keşfetme ve düzeltme sürecini hızlandırmaktı.
Blasiak, “Mobil VRP Mayıs 2023’te piyasaya sürüldü ve bir yıl sonra, başardıklarımıza bir göz atmanın zamanı geldi” diye ekledi.
“En önemlisi, güvenlik araştırmacılarına ödenen ödül olarak 100.000 dolara yakın 40’tan fazla geçerli güvenlik hatası raporu aldık.”