گوگل پاداش گزارش آسیبپذیریهای اجرای کد از راه دور (remote code execution ) در برنامههای اندرویدی منتخب را ده برابر افزایش داده است، از ۳۰،۰۰۰ دلار به ۳۰۰،۰۰۰ دلار، و حداکثر پاداش برای گزارشهای با کیفیت استثنایی به ۴۵۰،۰۰۰ دلار میرسد.
گوگل این تغییرات را در برنامه پاداش آسیبپذیری موبایل (Mobile VRP) ایجاد کرده و از آن به عنوان برنامههای Tier 1 توصیف می کند.
لیست برنامه های درون محدوده یا Scope های مجاز شامل خدمات Google Play، برنامه جستجوی Google Android (AGSA)، Google Cloud و Gmail می باشد.
در حال حاضر گوگل همچنین از محققان امنیتی میخواهد بر روی آسیب پذیری هایی تمرکز کنند که میتواند منجر به سرقت دادههای حساس شود و درحال حاضر ۷۵٫۰۰۰ دلار برای سوء استفادههایی که نیازی به تعامل کاربر ندارند و میتوانند از راه دور استفاده شوند به آنها پرداخت خواهد کرد.
برای گزارشهای که کیفیت بالایی دارند و شامل راهکارهای کاهش حمله و پچ پیشنهادی و همچنین علت ریشه ای حادثه می باشد شرکت ۱٫۵ برابر کل مبلغ پاداش را پرداخت میکند و به محققان اجازه میدهد تا ۴۵۰٫۰۰۰ دلار برای بهرهبرداری RCE در سطح ۱ کسب کنند.
گزارشی که ارسال میکنید باید شامل موارد زیر باشد :
۱- توضیح دقیق از آسیب پذیری
۲- اثبات وجود آسیب پذیری (PoC )
۳- تاثیر آسیب پذیری
و همچنین برخی از این آسیب پذیری ها شامل موارد زیر می باشند :
کریستوفر بلاسیاک، مهندس امنیت اطلاعات گوگل، گفت: “برخی تغییرات اضافی و کوچکتر نیز در قوانین ما ایجاد شده و همچنین قیمت باگ بانتی ها افزایش پیدا کرده است.
گوگل در ماه مه گذشته موبایل VRP را معرفی کرد تا به محققان امنیتی برای آسیبپذیریهای برنامههای اندرویدی این شرکت پرداخت کند.
هدف اصلی برنامه bug bounty تسریع فرآیند کشف و رفع ضعفهای امنیتی در برنامههای اندروید در گوگل می باشد.
بلاسیاک افزود: «موبایل VRP در ماه می ۲۰۲۳ راه اندازی شد و پس از یک سال، زمان آن رسیده است که نگاهی به آنچه به دست آورده ایم بیندازیم.مهمتر از همه، ما بیش از ۴۰ گزارش اشکال امنیتی معتبر دریافت کردیم که نزدیک به ۱۰۰٫۰۰۰ دلار پاداش به محققان امنیتی پرداخت شد.
