Σε μία ανακοίνωσή του την Παρασκευή, το Facebook δήλωσε ότι πρόκειται να αυξήσει τις ανταμοιβές στο πρόγραμμα bug bounty που διαθέτει, για την ανακάλυψη ευπαθειών στα Hermes και Spark AR.
Το Hermes είναι μια μηχανή JavaScript ανοιχτού κώδικα, η οποία κυκλοφόρησε από το Facebook πριν από ένα χρόνο και χρησιμοποιείται από τις εφαρμογές React Native της εταιρείας για Android και άλλο λογισμικό, συμπεριλαμβανομένου του Spark AR, μιας πλατφόρμας επαυξημένης πραγματικότητας που χρησιμοποιείται για τη δημιουργία εφέ στο Facebook, το Instagram και ακόμη και στις έξυπνες οθόνες της εταιρείας.
Οι ευπάθειες που εντοπίζονται στον εγγενή κώδικα του Facebook καλύπτονται από το πρόγραμμα bug bounty, όμως όπως δήλωσε η εταιρεία θέλει να ενθαρρύνει περισσότερους ερευνητές να ασχοληθούν και με τα Hermes και Spark AR και γι’ αυτό πρόσθεσε κι άλλες ανταμοιβές.
Για παράδειγμα, ένας ethical hacker θα μπορούσε να κερδίσει μέχρι και 25.000 $ εάν εντοπίσει μια ευπάθεια ή μια αλυσίδα εκμετάλλευσης που επιτρέπει την απομακρυσμένη εκτέλεση κώδικα κατά την εκτέλεση ενός εφέ Spark AR.
«Το ποσό μπορεί να προσαρμοστεί ανάλογα με το εκάστοτε σφάλμα και εκμετάλλευση. Για παράδειγμα, μια αλυσίδα εκμετάλλευσης που δεν περιέχει μια παράκαμψη ASLR, μπορεί να οδηγήσει σε ελαφρώς χαμηλότερη αμοιβή. Ομοίως, μια out-of-bounds εγγραφή όπου δεν υπάρχει σαφής διαδρομή προς το RCE θα λάβει χαμηλότερη αμοιβή», εξήγησε το Facebook.
Μια ευπάθεια που επιτρέπει σε έναν εισβολέα να διαβάσει δεδομένα χρήστη μπορεί να αξίζει, κατά μέσο όρο, 15.000 $. Ελαττώματα DoS που προκύπτουν από σφάλματα out-of-bounds, μπορούν να επιφέρουν κέρδη μεταξύ 500 και 3.000 $ στους ερευνητές.
Ένας ερευνητής μπορεί να κερδίσει επίσης μία αμοιβή 15.000 $, εάν παράσχει στην εταιρεία ένα πλήρες proof-of-concept (PoC) για μία εκμετάλλευση, πράγμα που σημαίνει ότι θα μπορούσε να λάβει 40.000 $ για μια ευπάθεια εκτέλεσης απομακρυσμένου κώδικα.
Μόνο πέρυσι, το Facebook διέθεσε περισσότερα από 2,2 εκατομμύρια δολάρια στο πρόγραμμα bug bounty του και συνολικά σχεδόν 10 εκατομμύρια δολάρια από την έναρξη του προγράμματος το 2011.
