Η Google αύξησε τις ανταμοιβές για την αναφορά σφαλμάτων RCE σε επιλεγμένες εφαρμογές Android κατά δέκα φορές, από 30.000 $ σε 300.000 $, με τη μέγιστη ανταμοιβή να φτάνει τα 450.000 $, για αναφορές εξαιρετικής ποιότητας.
Δείτε επίσης: Κρίσιμο σφάλμα RCE σε συσκευές D-Link NAS εκμεταλλεύεται σε επιθέσεις
Η εταιρεία έκανε αυτές τις αλλαγές στο Πρόγραμμα επιβράβευσης ευπάθειας για κινητά (Mobile VRP) και ισχύουν για τις εφαρμογές που περιγράφει ως Tier 1.
Η λίστα των εφαρμογών εντός πεδίου περιλαμβάνει τις Υπηρεσίες Google Play, την εφαρμογή Αναζήτησης Google Android (AGSA), το Google Cloud και το Gmail.
Mark Zuckerberg: Ο δεύτερος πλουσιότερος άνθρωπος
Ένα «νέο αστέρι» φωτίζεται στο νυχτερινό ουρανό
Mark Zuckerberg: Έγινε ο δεύτερος πλουσιότερος άνθρωπος! 💰💰
Η Google ζητά επίσης από τους ερευνητές ασφάλειας να επικεντρωθούν σε ελαττώματα που θα μπορούσαν να οδηγήσουν σε κλοπή ευαίσθητων δεδομένων και τώρα θα τους πληρώσει 75.000 $ για σφάλματα RCE που δεν απαιτούν αλληλεπίδραση με τον χρήστη και εκμεταλλεύονται εξ αποστάσεως.
Για εκθέσεις εξαιρετικής ποιότητας που περιλαμβάνουν μια προτεινόμενη ενημέρωση κώδικα ή αποτελεσματικό μετριασμό και μια ανάλυση βασικής αιτίας που θα βοηθήσει στην εύρεση άλλων παραλλαγών των σφαλμάτων, η Google θα πληρώσει 1,5 φορές το συνολικό ποσό ανταμοιβής, επιτρέποντας στους ερευνητές να κερδίσουν έως και 450.000 $ για σφάλματα RCE σε μία εφαρμογή Android Tier 1.
Δείτε ακόμα: Νέο κρίσιμο σφάλμα Moniker Link RCE στο Microsoft Outlook
Ωστόσο, θα λάβουν τη μισή ανταμοιβή για αναφορές σφαλμάτων χαμηλής ποιότητας που δεν παρέχουν:
- Ακριβείς και λεπτομερείς περιγραφές,
- Ένα επίτευγμα απόδειξης της ιδέας,
- Εύκολα βήματα για την αξιόπιστη αναπαραγωγή της ευπάθειας,
- Μια σαφή επίδειξη της επίδρασης του σφάλματος.
Η Google παρουσίασε το Mobile VRP τον περασμένο Μάιο για να πληρώσει τους ερευνητές ασφαλείας για ευπάθειες και σφάλματα RCE στις εφαρμογές Android της εταιρείας.
Δείτε επίσης: TellYouThePass ransomware: Προστίθεται στις επιθέσεις RCE του Apache ActiveMQ
Ο κύριος στόχος του προγράμματος bug bounty ήταν να επιταχύνει τη διαδικασία ανακάλυψης και διόρθωσης αδυναμιών ασφαλείας σε εφαρμογές Android πρώτου κατασκευαστή, που συντηρούνται ή αναπτύσσονται από την Google.
Πηγή: bleepingcomputer