编译:代码卫士
谷歌推出移动漏洞奖励计划 (Mobile VRP),为从公司安卓应用中发现漏洞的安全研究员发放奖励。
谷歌指出,Mobile VRP的主要目的是加速找到并修复由谷歌开发或维护的第一方安卓应用中漏洞的流程。该漏洞奖励计划涵盖的应用程序包括由 Google LLC、Developed with Google、Research at Google、Red Hot Labs、Google Samples、Fitbit LLC、Nest Labs Inc、Waymo LLC 和 Waze 开发的应用。另外,还包括谷歌所定义为“第一层级”的安卓应用(及其包名称):
【资料图】
Google Play Services (com.google.android.gms)
AGSA( com.google.android.googlequicksearchbox)
Google Chrome (com.android.chrome)
Google Cloud (com.google.android.apps.cloudconsole)
Gmail (com.google.android.gm)
Chrome Remote Desktop (com.google.chromeremotedesktop)
符合条件的漏洞包括可导致任意代码执行和敏感数据被盗的漏洞以及可与其它缺陷组合利用导致类似影响的弱电。这些漏洞和缺陷包括:可导致任意文件写的孤立权限、路径遍历或 zip 路径遍历缺陷、可用于发布非导出应用组件的意图重定向以及由不安全使用未决意图导致的安全漏洞。
谷歌表示,无需用户交互实现远程代码执行的漏洞将获得最多3万美元的赏金,可导致远程敏感信息泄露的漏洞将获得最高7500美元的赏金。
类别 | 1) 远程/无用户交互 | 2) 用户必须遵循利用易受攻击app 的链接 | 3) 用户必须安装以非默认方式配置的恶意或受害者app | 4) 攻击者必须位于同样的网络中(如中间人攻击) |
任意代码执行 | $30,000 | $15,000 | $4,500 | $2,250 |
敏感数据失窃 | $7,500 | $4,500 | $2,250 | $750 |
其它漏洞 | $7,500 | $4,500 | $2,250 | $750 |
谷歌表示,“Mobile VRP 奖励研究员为帮助谷歌改进第一方安卓应用安全态势而做出的贡献和付出的辛勤劳动。该计划的目标是缓解安卓应用中的漏洞,保护用户及其数据的安全。”
2022年8月,谷歌宣布将奖励安全研究员发现谷歌开源软件最新版本中的漏洞,这些软件包括谷歌最敏感的项目如 Bazel、Angular、Golang、Protocol 缓冲区以及 Fuchsia。
自2010年推出首个VRP以来,谷歌已向数千名安全研究员所报告的超过1.5万个漏洞颁发超过5000万美元的赏金。2020年,谷歌共颁发1200万美元的赏金,其中由 gzobqq 发现的由5个漏洞组成的利用链获得安卓VRP史上最高赏金,60.5万美元。一年前,这名研究员提交了安卓系统中另外一枚严重的利用链,获得15.7万美元的赏金,也是当时安卓 VRP 史上最高赏金。
原文链接
https://www.bleepingcomputer.com/news/google/google-launches-bug-bounty-program-for-its-android-applications/