Google объявила о запуске программы Bug Bounty для своих Android-приложений. Компания считает, что инициатива поможет ускорить процесс поиска ошибок и доработки ПО.
Инициатива получила название Mobile Vulnerability Reward Program (Mobile VRP). Для исследования допускаются приложения, разработанные и поддерживаемые Google LLC, а также совместно с Research at Google, Red Hot Labs, Google Samples, Fitbit LLC, Nest Labs Inc, Waymo LLC и Waze. Всего компания обозначила три группы тестируемых приложений. Уязвимости в каждой группе оплачиваются по собственным критериям.
В первую группу входят приложения, ограниченные следующими пакетами:
Название приложения |
Название пакета |
Google Play Services |
com.google.android.gms |
AGSA |
com.google.android.googlequicksearchbox |
Google Chrome |
com.android.chrome |
Google Cloud |
com.google.android.apps.cloudconsole |
Gmail |
com.google.android.gm |
Chrome Remote Desktop |
com.google.chromeremotedesktop |
Вторая группа включает в себя большинство приложений, которые взаимодействуют с пакетами из первой группы, обрабатывают пользовательские данные и обращаются к сервисам Google. Третья группа состоит из приложений, которые никак не связаны с сервисами компании.
Максимальные суммы вознаграждений назначены за уязвимости, обнаруженные в первой группе. Компания готова выплатить 30 тыс. долларов тому, кто сможет запустить удалённое выполнение кода без взаимодействия с профилем пользователя в приложениях из первой группы. За удалённую кражу пользовательских данных можно получить до 7,5 тыс. долларов.
В конце февраля Google отчиталась, что за 2022 год выплатила 12 млн долларов по программе Bug Bounty. Денежные вознаграждения начислялись за обнаружение ошибок в проектах Chrome, Android, Google Play, открытых разработках компании и связанных с Google проектах.
ссылка на оригинал статьи https://habr.com/ru/articles/736986/
Добавить комментарий