Google объявила о запуске программы Bug Bounty для своих Android-приложений. Компания считает, что инициатива поможет ускорить процесс поиска ошибок и доработки ПО.
Инициатива получила название Mobile Vulnerability Reward Program (Mobile VRP). Для исследования допускаются приложения, разработанные и поддерживаемые Google LLC, а также совместно с Research at Google, Red Hot Labs, Google Samples, Fitbit LLC, Nest Labs Inc, Waymo LLC и Waze. Всего компания обозначила три группы тестируемых приложений. Уязвимости в каждой группе оплачиваются по собственным критериям.
В первую группу входят приложения, ограниченные следующими пакетами:
Название приложения | Название пакета |
Google Play Services | com.google.android.gms |
AGSA | com.google.android.googlequicksearchbox |
Google Chrome | com.android.chrome |
Google Cloud | com.google.android.apps.cloudconsole |
Gmail | com.google.android.gm |
Chrome Remote Desktop | com.google.chromeremotedesktop |
Вторая группа включает в себя большинство приложений, которые взаимодействуют с пакетами из первой группы, обрабатывают пользовательские данные и обращаются к сервисам Google. Третья группа состоит из приложений, которые никак не связаны с сервисами компании.
Максимальные суммы вознаграждений назначены за уязвимости, обнаруженные в первой группе. Компания готова выплатить 30 тыс. долларов тому, кто сможет запустить удалённое выполнение кода без взаимодействия с профилем пользователя в приложениях из первой группы. За удалённую кражу пользовательских данных можно получить до 7,5 тыс. долларов.
В конце февраля Google отчиталась, что за 2022 год выплатила 12 млн долларов по программе Bug Bounty. Денежные вознаграждения начислялись за обнаружение ошибок в проектах Chrome, Android, Google Play, открытых разработках компании и связанных с Google проектах.
