구글, 일부 안드로이드 앱의 RCE 버그에 대해 최대 $450,000의 보상 증가

구글은 이제 특정 안드로이드 앱 내에서 원격 코드 실행(RCE) 취약점을 보고하는 데 대해 최대 $450,000의 보상을 제공하고 있습니다.

RCE는 공격자가 위치에 관계없이 대상 컴퓨터에서 악성 코드를 원격으로 실행하여 추가 악성 소프트웨어를 배포하거나 민감한 데이터를 훔치는 사이버 공격입니다.

이전에는 Tier 1 앱에서 RCE 취약점을 보고하는 보상이 $30,000였으나, 이제 10배 증가하여 $300,000가 되었습니다.

이러한 변경 사항은 2023년에 시작된 모바일 취약점 보상 프로그램(Mobile VRP)에 적용되며, 이는 구글이 개발하거나 유지 관리하는 1차 안드로이드 앱에 중점을 두고 있습니다.

이 프로그램의 목표는 “1차 안드로이드 애플리케이션의 취약점을 완화하고, 따라서 사용자와 그들의 데이터를 안전하게 유지”하는 것이며, “구글이 1차 안드로이드 애플리케이션의 보안 태세를 개선하는 데 도움을 주는 연구자들의 기여와 노력을 인정”하는 것입니다.

모바일 VRP가 시작된 이후, 구글은 40건 이상의 유효한 보안 버그 보고를 받았으며, 이에 대해 보안 연구자들에게 거의 $100,000의 보상을 지급했습니다.

Tier 1에 해당하는 앱 목록에는 구글 플레이 서비스, 안드로이드 구글 검색 앱(AGSA), 구글 클라우드 및 Gmail이 포함됩니다.

구글은 이제 보안 연구자들이 민감한 데이터 도난으로 이어질 수 있는 결함에 특히 주의를 기울이기를 원합니다. 원격 또는 사용자 상호작용이 필요 없는 취약점에 대해서는 연구자들에게 $75,000가 지급됩니다.

또한, 기술 대기업은 취약점의 제안된 패치 또는 효과적인 완화와 같은 우수한 품질의 보고서에 대해 총 보상 금액의 1.5배를 지급할 것입니다. 이는 연구자들이 Tier 1 안드로이드 앱에서 RCE 취약점에 대해 최대 $450,000를 벌 수 있게 합니다.

그러나 연구자들은 다음과 같은 내용을 제공하지 않는 저품질 버그 보고서에 대해서는 보상의 절반만 받을 수 있습니다:

• 문제에 대한 정확하고 상세한 설명
• 개념 증명 취약점
• APK 형식의 예제 애플리케이션
• 취약점을 신뢰성 있게 재현하는 방법에 대한 단계별 설명
• 취약점의 영향에 대한 명확한 분석 및 시연

| | 카테고리 | | 1) 원격/사용자 상호작용 없음 | | 2) 사용자가 취약한 앱을 악용하는 링크를 따라야 함 | | 3) 사용자가 악성 앱을 설치해야 하거나 피해자 앱이 비기본 방식으로 구성됨 | | 4) 공격자가 동일 네트워크에 있어야 함 (예: MiTM) | |

| | A) 임의 코드 실행 | | $300,000 | | $150,000 | | $15,000 | | $9,000 | |

| | B) 민감한 데이터 도난* | | $75,000 | | $37,500 | | $9,000 | | $6,000 | |

| | C) 기타 취약점 | | $24,000 | | $9,000 | | $4,500 | | $2,400 | |

“일부 추가적인 작은 변경 사항도 우리의 규칙에 적용되었습니다. 예를 들어, SDK에 대한 2배 수정자는 이제 일반 보상에 포함되었습니다. 이는 전체 보상을 증가시키고 패널 결정이 더 쉬워질 것입니다.”라고 구글 정보 보안 엔지니어 크리스토퍼 블라시아크가 말했습니다.