Google увеличивает вознаграждение до $450,000 за уязвимости RCE в некоторых приложениях Android

Google теперь предлагает вознаграждение до $450,000 за сообщение об уязвимостях удаленного выполнения кода (RCE) в определенных приложениях Android.

Для тех, кто не в курсе, RCE — это кибератака, при которой злоумышленник может удаленно выполнить вредоносный код на целевом компьютере, независимо от его местоположения, чтобы развернуть дополнительное вредоносное ПО или украсть конфиденциальные данные.

Ранее вознаграждение за сообщение об уязвимостях RCE в приложении Tier 1 составляло $30,000, что теперь увеличилось до 10 раз до $300,000.

Эти изменения были внесены в Программу вознаграждений за уязвимости мобильных устройств (Mobile VRP), запущенную в 2023 году, которая сосредоточена на приложениях Android первого уровня, разработанных или поддерживаемых Google.

Цель этой программы — «уменьшить уязвимости в приложениях Android первого уровня и, таким образом, защитить пользователей и их данные», «признавая вклад и тяжелую работу исследователей, которые помогают Google улучшить безопасность наших приложений Android первого уровня».

С момента запуска Mobile VRP Google получил более 40 действительных отчетов о безопасности, за которые он выплатил почти $100,000 в виде вознаграждений исследователям безопасности.

Что касается Tier 1, список приложений в рамках программы включает Google Play Services, приложение Android Google Search (AGSA), Google Cloud и Gmail.

Google теперь также хочет, чтобы исследователи безопасности уделяли особое внимание недостаткам, которые могут привести к краже конфиденциальных данных. За эксплойты, требующие удаленного или отсутствующего взаимодействия с пользователем, исследователи получат $75,000.

Кроме того, технологический гигант выплатит 1.5 раза общую сумму вознаграждения за отчеты исключительного качества, которые включают предложенный патч или эффективное смягчение уязвимости, а также анализ коренной причины, который помогает найти другие подобные варианты проблемы. Это позволит исследователям заработать до $450,000 за эксплойт RCE в приложении Android Tier 1.

Тем не менее, исследователи получат половину вознаграждения за отчеты о низком качестве, которые не предоставляют:

• Точное и детальное описание проблемы
• Эксплойт в качестве доказательства концепции
• Пример приложения в виде APK
• Пошаговое объяснение того, как надежно воспроизвести уязвимость
• Четкий анализ и демонстрация воздействия уязвимости

| | Категория | | 1) Удаленное/Нет взаимодействия с пользователем | | 2) Пользователь должен перейти по ссылке, которая эксплуатирует уязвимое приложение | | 3) Пользователь должен установить вредоносное приложение или приложение жертвы настроено нестандартным образом | | 4) Злоумышленник должен находиться в одной сети (например, MiTM) | |

| | A) Произвольное выполнение кода | | $300,000 | | $150,000 | | $15,000 | | $9,000 | |

| | B) Кража конфиденциальных данных* | | $75,000 | | $37,500 | | $9,000 | | $6,000 | |

| | C) Другие уязвимости | | $24,000 | | $9,000 | | $4,500 | | $2,400 | |

«Некоторые дополнительные, более мелкие изменения также были внесены в наши правила. Например, 2x модификатор для SDK теперь включен в обычные вознаграждения. Это должно увеличить общие вознаграждения и упростить решения панели», — сказал инженер информационной безопасности Google Кристоффер Бласяк.