قامت Google بزيادة المكافآت مقابل الإبلاغ عن ثغرات أمنية في تنفيذ التعليمات البرمجية عن بُعد داخل تطبيقات Android محددة بعشر مرات، من 30 ألف دولار إلى 300 ألف دولار، مع وصول الحد الأقصى للمكافأة إلى 450 ألف دولار مقابل تقارير الجودة الاستثنائية.
أجرت الشركة هذه التغييرات على برنامج مكافآت الثغرات الأمنية في الأجهزة المحمولة (Mobile VRP) وهي تنطبق على ما تصفه بتطبيقات المستوى الأول.
تتضمن قائمة التطبيقات الموجودة ضمن النطاق خدمات Google Play، وتطبيق Android Google Search (AGSA)، وGoogle Cloud، وGmail.
تريد Google الآن أيضًا من الباحثين الأمنيين التركيز على العيوب التي قد تؤدي إلى سرقة البيانات الحساسة وستدفع لهم الآن 75000 دولار مقابل عمليات استغلال لا تتطلب تفاعل المستخدم ويمكن استخدامها عن بُعد.
بالنسبة لتقارير الجودة الاستثنائية التي تتضمن تصحيحًا مقترحًا أو تخفيفًا فعالًا وتحليل السبب الجذري للمساعدة في العثور على متغيرات المشكلات الأخرى، ستدفع الشركة 1.5 ضعف إجمالي مبلغ المكافأة، مما يسمح للباحثين بكسب ما يصل إلى 450.000 دولار أمريكي مقابل استغلال RCE في المستوى 1 الروبوت التطبيق.
ومع ذلك، سيحصلون على نصف المكافأة مقابل تقارير الأخطاء منخفضة الجودة التي لا توفر:
- وصف دقيق ومفصل،
- استغلال لإثبات المفهوم،
- خطوات سهلة لإعادة إنتاج الثغرة الأمنية بشكل موثوق،
- عرض واضح لتأثير الخطأ.
| فئة | بعيد/لا يوجد تفاعل مع المستخدم | عبر النقر على الرابط | عبر تطبيق ضار/بتكوين غير افتراضي | مهاجم على نفس الشبكة |
|---|---|---|---|---|
| تنفيذ التعليمات البرمجية | 300000 دولار | 150,000 دولار | 15000 دولار | 9000 دولار |
| سرقة البيانات | 75000 دولار | 37500 دولار | 9000 دولار | 6000 دولار |
| فولنز أخرى | 24000 دولار | 9000 دولار | 4500 دولار | 2400 دولار |
“تم إجراء بعض التغييرات الإضافية الأصغر أيضًا على قواعدنا. على سبيل المثال، تم الآن تضمين معدّل 2x لحزم تطوير البرامج (SDK) في المكافآت العادية. ومن المفترض أن يؤدي ذلك إلى زيادة المكافآت الإجمالية، وسيجعل قرارات اللجنة أسهل،” كريستوفر بلاسياك، مهندس أمن معلومات Googleقال.
جوجلقدمت Mobile VRP في مايو الماضيلدفع أموال للباحثين الأمنيين مقابل الثغرات الأمنية في تطبيقات أندرويد الخاصة بالشركة.
كان الهدف الرئيسي لبرنامج مكافأة الأخطاء هو تسريع عملية اكتشاف وإصلاح نقاط الضعف الأمنية في تطبيقات Android التابعة للطرف الأول التي تحتفظ بها Google أو تطورها.
“الVRP المحمولوأضاف بلاسياك: “تم إطلاقه في مايو 2023، وبعد عام واحد، حان الوقت لإلقاء نظرة على ما حققناه”.
“والأهم من ذلك أننا تلقينا أكثر من 40 تقريرًا صالحًا عن الأخطاء الأمنية، وهو ما يقرب من 100000 دولار أمريكي كمكافآت مدفوعة للباحثين الأمنيين.”