Google объявила о запуске новой программы для поиска уязвимостей — Mobile Vulnerability Rewards Program

Google недавно объявила о запуске новой программы для поиска уязвимостей под названием Mobile Vulnerability Rewards Program (Mobile VRP). Эта программа предлагает исследователям вознаграждения до 30 000 долларов за выявленные баги в Android-приложениях.

Ключевая цель Mobile VRP, как утверждают в Google, — ускорить обнаружение и устранение уязвимостей в Android-приложениях, созданных или поддерживаемых Google. Программа охватывает приложения, совместно разработанные с Google, тестируемые в Google, а также созданные Google LLC, Red Hot Labs, Google Samples, Fitbit LLC, Nest Labs Inc, Waymo LLC и Waze.

В числе приложений, попадающих под программу, также находятся «Tier 1» Android-приложения, включая:

• Google Play Services (com.google.android.gms);
• AGSA( com.google.android.googlequicksearchbox);
• Google Chrome (com.android.chrome);
• Google Cloud (com.google.android.apps.cloudconsole);
• Gmail (com.google.android.gm);
• Chrome Remote Desktop (com.google.chromeremotedesktop).

Вознаграждения могут быть выданы за уязвимости, такие как исполнение произвольного кода, похищение конфиденциальной информации и другие баги, которые могут быть использованы вместе с другими уязвимостями для аналогичного воздействия.

Исследователи могут получить до 30 000 долларов за удаленное выполнение кода без взаимодействия с пользователем, а также до 7 500 долларов за обнаружение ошибок, позволяющих удаленно похитить конфиденциальные данные.

С 2010 года, когда Google запустила свою первую программу вознаграждений за уязвимости, было выплачено более 50 миллионов долларов исследователям за обнаружение более 15 000 уязвимостей. В 2022 году общий объем выплат достиг 12 миллионов долларов, включая рекордное вознаграждение в размере 605 000 долларов, которое было выдано исследователю безопасности gzobqq за обнаружение цепочки из пяти отдельных уязвимостей в Android.