HACKING

Η Google πληρώνει έως και 450.000 $ για σφάλματα RCE

This post was originally published on this site

Η Google αύξησε τις ανταμοιβές για την αναφορά σφαλμάτων RCE σε επιλεγμένες εφαρμογές Android κατά δέκα φορές, από 30.000 $ σε 300.000 $, με τη μέγιστη ανταμοιβή να φτάνει τα 450.000 $, για αναφορές εξαιρετικής ποιότητας.

Δείτε επίσης: Κρίσιμο σφάλμα RCE σε συσκευές D-Link NAS εκμεταλλεύεται σε επιθέσεις

Η εταιρεία έκανε αυτές τις αλλαγές στο Πρόγραμμα επιβράβευσης ευπάθειας για κινητά (Mobile VRP) και ισχύουν για τις εφαρμογές που περιγράφει ως Tier 1.

Η λίστα των εφαρμογών εντός πεδίου περιλαμβάνει τις Υπηρεσίες Google Play, την εφαρμογή Αναζήτησης Google Android (AGSA), το Google Cloud και το Gmail.

Η Google ζητά επίσης από τους ερευνητές ασφάλειας να επικεντρωθούν σε ελαττώματα που θα μπορούσαν να οδηγήσουν σε κλοπή ευαίσθητων δεδομένων και τώρα θα τους πληρώσει 75.000 $ για σφάλματα RCE που δεν απαιτούν αλληλεπίδραση με τον χρήστη και εκμεταλλεύονται εξ αποστάσεως.

Για εκθέσεις εξαιρετικής ποιότητας που περιλαμβάνουν μια προτεινόμενη ενημέρωση κώδικα ή αποτελεσματικό μετριασμό και μια ανάλυση βασικής αιτίας που θα βοηθήσει στην εύρεση άλλων παραλλαγών των σφαλμάτων, η Google θα πληρώσει 1,5 φορές το συνολικό ποσό ανταμοιβής, επιτρέποντας στους ερευνητές να κερδίσουν έως και 450.000 $ για σφάλματα RCE σε μία εφαρμογή Android Tier 1.

Δείτε ακόμα: Νέο κρίσιμο σφάλμα Moniker Link RCE στο Microsoft Outlook

Ωστόσο, θα λάβουν τη μισή ανταμοιβή για αναφορές σφαλμάτων χαμηλής ποιότητας που δεν παρέχουν:

  • Ακριβείς και λεπτομερείς περιγραφές,
  • Ένα επίτευγμα απόδειξης της ιδέας,
  • Εύκολα βήματα για την αξιόπιστη αναπαραγωγή της ευπάθειας,
  • Μια σαφή επίδειξη της επίδρασης του σφάλματος.

Η Google παρουσίασε το Mobile VRP τον περασμένο Μάιο για να πληρώσει τους ερευνητές ασφαλείας για ευπάθειες και σφάλματα RCE στις εφαρμογές Android της εταιρείας.

Δείτε επίσης: TellYouThePass ransomware: Προστίθεται στις επιθέσεις RCE του Apache ActiveMQ

Ο κύριος στόχος του προγράμματος bug bounty ήταν να επιταχύνει τη διαδικασία ανακάλυψης και διόρθωσης αδυναμιών ασφαλείας σε εφαρμογές Android πρώτου κατασκευαστή, που συντηρούνται ή αναπτύσσονται από την Google.

Πηγή: bleepingcomputer

https://www.secnews.gr/security/

%d bloggers like this: