Η Google ανακοίνωσε το νέο Mobile Vulnerability Rewards Program (Mobile VRP), ένα πρόγραμμα bug bounty, για τον εντοπισμό ευπαθειών στις εφαρμογές Android της εταιρείας.
“Είμαστε ενθουσιασμένοι που ανακοινώνουμε το νέο VRP για κινητά! Αναζητούμε κυνηγούς σφαλμάτων για να μας βοηθήσουν να βρούμε και να διορθώσουμε ευπάθειες στις εφαρμογές μας για κινητά“, έγραψε το Google VRP στο Twitter.
Ο βασικός στόχος του νέου Mobile VRP είναι να επιταχύνει τη διαδικασία εύρεσης και διόρθωσης κενών ασφαλείας σε first-party εφαρμογές Android, που έχουν αναπτυχθεί ή συντηρούνται από την Google.
Δείτε επίσης: OpenAI: Πρόγραμμα Bug Bounty με ανταμοιβές έως και 20.000$
, ένα πρόγραμμα bug bounty, για τον εντοπισμό ευπαθειών σε Android){kind=link}
Αυτές οι εφαρμογές περιλαμβάνουν αυτές που αναπτύχθηκαν από την Google LLC ή αναπτύχθηκαν μαζί με τις Google, Research at Google, Red Hot Labs, Google Samples, Fitbit LLC, Nest Labs Inc, Waymo LLC και Waze.
Επιπλέον, περιλαμβάνονται εφαρμογές που η Google περιγράφει ως εφαρμογές Android “Tier 1”:
- Google Play Services (com.google.android.gms)
- AGSA( com.google.android.googlequicksearchbox)
- Google Chrome (com.android.chrome)
- Google Cloud (com.google.android.apps.cloudconsole)
- Gmail (com.google.android.gm)
- Chrome Remote Desktop (com.google.chromeremotedesktop)
Όσον αφορά στις ευπάθειες που πρέπει να βρουν οι ερευνητές που θα συμμετάσχουν στο νέο πρόγραμμα bug bounty για Android εφαρμογές, περιλαμβάνουν εκείνες που επιτρέπουν την αυθαίρετη εκτέλεση κώδικα (ACE) και την κλοπή ευαίσθητων δεδομένων, καθώς και κενά ασφαλείας που θα μπορούσαν να συνδεθούν με άλλες ευπάθειες για να προκαλέσουν παρόμοια προβλήματα.
Δείτε επίσης: Το XWorm malware εκμεταλλεύεται την ευπάθεια Follina στις νέες επιθέσεις
Η Google λέει ότι θα δώσει έως και 30.000 $ σε ερευνητές που θα εντοπίσουν ευπάθειες που επιτρέπουν απομακρυσμένη εκτέλεση κώδικα χωρίς αλληλεπίδραση με τον χρήστη. Επιπλέον, θα δώσει έως και 7.500 $ για σφάλματα που επιτρέπουν την κλοπή ευαίσθητων δεδομένων από απόσταση.
“Το Mobile VRP αναγνωρίζει τη συνεισφορά και τη σκληρή δουλειά των ερευνητών που βοηθούν την Google να βελτιώσει τη στάση ασφαλείας των εφαρμογών Android πρώτου κατασκευαστή“, δήλωσε η Google.
Η Google τονίζει ότι στόχος του νέου προγράμματος bug bounty είναι να μετριάσει τα τρωτά σημεία σε first-party εφαρμογές Android, ώστε να διατηρήσει τους χρήστες και τα δεδομένα τους ασφαλή.
Τον Αύγουστο του 2022, η εταιρεία ανακοίνωσε ότι θα πλήρωνε ερευνητές ασφαλείας για να βρουν σφάλματα στις πιο πρόσφατες εκδόσεις του Google open-source software (Google OSS), συμπεριλαμβανομένων των πιο ευαίσθητων projects της όπως τα Bazel, Angular, Golang, Protocol buffers και Fuchsia.
Δείτε επίσης: Ευπάθεια στο KeePass εξάγει τον κωδικό πρόσβασης
Από τότε που κυκλοφόρησε το πρώτο της VRP το 2010, η Google έχει προσφέρει περισσότερα από 50 εκατομμύρια δολάρια σε χιλιάδες ερευνητές ασφαλείας για την αναφορά περισσότερων από 15.000 ευπαθειών. Το 2022 έδωσε 12 εκατομμύρια δολάρια, συμπεριλαμβανομένης μιας πληρωμής ρεκόρ 605.000 δολαρίων για ένα Android exploit chain με πέντε ξεχωριστά σφάλματα ασφαλείας που αναφέρθηκαν από τον gzobqq.
Πολλές μεγάλες εταιρείες έχουν ανακοινώσει bug bounty προγράμματα για να διατηρήσουν τα προϊόντα τους ασφαλή. Αυτά τα προγράμματα έχουν φέρει επανάσταση στον τομέα της κυβερνοασφάλειας. Οι εταιρείες μπορούν να αξιοποιήσουν ένα τεράστιο δίκτυο ειδικευμένων επαγγελματιών για να εντοπίσουν και να διορθώσουν τις ευπάθειες ασφαλείας τους προτού μπορέσουν να τις εκμεταλλευτούν κακόβουλοι παράγοντες. Τα οφέλη των προγραμμάτων bounty bug είναι τεράστια, από τη σχέση κόστους-αποτελεσματικότητας έως την προώθηση της εμπιστοσύνης μεταξύ ερευνητών και εταιρειών.
Πηγή: www.bleepingcomputer.com