Năm ngoái, chương trình thưởng lỗi của Google đã trao ít nhất 12 triệu USD cho các nhà nghiên cứu phát hiện ra lỗi bảo mật trong các sản phẩm và dịch vụ của hãng. Con số này cao hơn đáng kể so với con số 8,7 triệu USD được chi trả vào năm 2021 và dự kiến sẽ tăng lên trong những năm tới. Công ty hiện đang mở rộng nỗ lực nghiên cứu bảo mật của mình bằng một chương trình mới nhắm vào các ứng dụng của bên thứ ba cho Android.
Đầu tháng này, Google đã cập nhật Chương trình tiền thưởng cho lỗ hổng bảo mật trong Android và các thiết bị của Google (VRP), giới thiệu một hệ thống mới để đánh giá chất lượng báo cáo lỗi và tăng phần thưởng tối đa cho việc tìm ra các lỗ hổng nghiêm trọng lên 15 USD. Vào thời điểm đó, công ty giải thích rằng điều này sẽ giúp việc sửa các lỗi bảo mật trên điện thoại trở nên dễ dàng hơn điểm ảnh, thiết bị Google Nest và Fitbit, cũng như trong hệ điều hành Android một cách kịp thời hơn.
Tuần này, công ty đã ra mắt Chương trình Phần thưởng Lỗ hổng Di động (Mobile VRP), nhắm đến các nhà nghiên cứu quan tâm đến việc điều tra tính bảo mật của các ứng dụng dành cho Android, được phát triển bởi Google hoặc các công ty khác thuộc tập đoàn Alphabet.
Ứng dụng mới phân loại ứng dụng của bên thứ ba cho Android trên ba cấp độ. Cấp độ đầu tiên bao gồm các ứng dụng quan trọng nhất, chẳng hạn như Google Play Services, Google Chrome, Gmail, Chrome Remote Desktop, Google Cloud và AGSA (tiện ích Google Tìm kiếm trong Android). Cấp thứ hai và thứ ba bao gồm các ứng dụng được phát triển bởi bộ phận nghiên cứu của Google, Google Samples, Red Hot Labs, Nest Labs, Waymo và Waze.
Đối với các loại lỗ hổng bảo mật có trong chương trình Mobile VRP, Google cho biết họ quan tâm nhất đến các lỗi cho phép thực thi mã tùy ý và đánh cắp dữ liệu, vì vậy các kỹ sư bảo mật của công ty sẽ ưu tiên các báo cáo đó. Đồng thời, công ty cũng đang tìm hiểu về các lỗ hổng bảo mật khác có thể bị khai thác như một phần của chuỗi khai thác, bao gồm các lỗ hổng truyền tải đường dẫn hoặc truyền tải kho lưu trữ zip, quyền mồ côi và chuyển hướng có chủ ý có thể được sử dụng để khởi chạy tệp không được xuất. các thành phần ứng dụng.
Phần thưởng phụ thuộc vào mức độ nghiêm trọng của các lỗ hổng được phát hiện và các ứng dụng bị ảnh hưởng, Google sẵn sàng trả tới 30 USD cho việc phát hiện ra các lỗ hổng cho phép kẻ tấn công thực thi mã từ xa mà không cần sự can thiệp của người dùng. và 000 ứng dụng là $2 và $3 phù hợp. Số tiền tối thiểu cho một báo cáo đủ điều kiện là 25 đô la, nhưng Google cũng có thể áp dụng khoản tiền thưởng 000 đô la cho các báo cáo đặc biệt.
Chương trình tiền thưởng sửa lỗi của Google là một trong những chương trình lớn nhất trong ngành công nghệ, với 2022 triệu USD được trả cho các nhà nghiên cứu bảo mật chỉ trong năm 12. Phần thưởng lớn nhất là 605 USD cho chuyên gia đã phát hiện ra chuỗi khai thác từ 000 lỗ hổng trong Android.
Các nhà nghiên cứu bảo mật quan tâm đến Mobile VRP có thể tìm thêm thông tin chi tiết tại đây đây. Google nói rằng các báo cáo phải ngắn gọn và bao gồm một bằng chứng ngắn gọn về khái niệm nếu có thể - bạn có thể tìm thấy một số hướng dẫn về cách gửi báo cáo lỗi tốt nhất tại đây đây.
Đọc thêm: