По информации Bleeping Computer, Google на месяц вполовину подняла бонусы багхантерам за обнаруженные уязвимости в бета-версии Android 13. Максимальная выплата за рабочую цепочку эксплойтов для удаленного выполнения кода во обход чипа безопасности Titan M в данном случае составляет $1,5 млн.
Акция действует до 26 мая 2022 года. К стандартным выплатам за уязвимости по своей программа багхантинга Google обещает добавить еще 50% сверху по каждому подтвержденному случаю обнаруженной проблемы в новой ОС. Для этого компания посоветовала присылать багрепорты с пометкой Android 13 Beta.
Условие получения дополнительного бонуса заключаются в том, что уязвимости должны быть эксклюзивными для Android 13 и не должны воспроизводиться в любой другой версии Android.
Эксперты также могут получить $375 тыс. за уязвимости в системе безопасности Android 13, среде Trusted Execution Environment и ядре системы. Уязвимость с выполнением привилегированного процесса награждается $150 тыс.
Исследователи также имеют право на дополнительное вознаграждение, если они предоставят полные цепочки эксплойтов, объединяющие несколько недостатков безопасности и демонстрирующие выполнение произвольного кода, кражу данных или обход блокировки экрана с помощью программного обеспечения.
Окончательная сумма вознаграждения за все сообщения об ошибках определяется комитетом по вознаграждениям Google и зависит от нескольких факторов, включая (не только) наличие готового эксплойта, его подробное описание, вектор атаки и тип атаки, работоспособность эксплойта.
28 апреля Google выпустила первую бета-версию мобильной операционной системы Android 13. Сейчас тестовую сборку можно установить исключительно на смартфоны линейки Pixel. Отмечается, что пока в обновлении не так много новых функций, и изменения носят по большому счёту косметический характер.
В июле 2021 года Google сообщила, что выплатила вознаграждения более чем 2 тыс. исследователям безопасности из 84 разных стран за сообщения о более чем 11000 уязвимостей с момента запуска своей программы по вознаграждению за уязвимости, которую компания запустила более десяти лет назад. С января 2010 года Google выплатила экспертам и энтузиастам более $29 млн в качестве вознаграждения за уязвимости.
ссылка на оригинал статьи https://habr.com/ru/articles/663786/
Добавить комментарий