Google запустила программу Bug Bounty для своих Android-приложений

7916c2b92920fed199dfa0cd9aa899f5

Google объявила о запуске программы Bug Bounty для своих Android-приложений. Компания считает, что инициатива поможет ускорить процесс поиска ошибок и доработки ПО.

Инициатива получила название Mobile Vulnerability Reward Program (Mobile VRP). Для исследования допускаются приложения, разработанные и поддерживаемые Google LLC, а также совместно с Research at Google, Red Hot Labs, Google Samples, Fitbit LLC, Nest Labs Inc, Waymo LLC и Waze. Всего компания обозначила три группы тестируемых приложений. Уязвимости в каждой группе оплачиваются по собственным критериям.

В первую группу входят приложения, ограниченные следующими пакетами:

Название приложения

Название пакета

Google Play Services

com.google.android.gms

AGSA

com.google.android.googlequicksearchbox

Google Chrome

com.android.chrome

Google Cloud

com.google.android.apps.cloudconsole

Gmail

com.google.android.gm

Chrome Remote Desktop

com.google.chromeremotedesktop

Вторая группа включает в себя большинство приложений, которые взаимодействуют с пакетами из первой группы, обрабатывают пользовательские данные и обращаются к сервисам Google. Третья группа состоит из приложений, которые никак не связаны с сервисами компании.

Максимальные суммы вознаграждений назначены за уязвимости, обнаруженные в первой группе. Компания готова выплатить 30 тыс. долларов тому, кто сможет запустить удалённое выполнение кода без взаимодействия с профилем пользователя в приложениях из первой группы. За удалённую кражу пользовательских данных можно получить до 7,5 тыс. долларов.

В конце февраля Google отчиталась, что за 2022 год выплатила 12 млн долларов по программе Bug Bounty. Денежные вознаграждения начислялись за обнаружение ошибок в проектах Chrome, Android, Google Play, открытых разработках компании и связанных с Google проектах.

© Habrahabr.ru