Google teatas, et kõik turvateadlased, kes teatavad Android 13 beetaversiooni haavatavustest VRP (Vulnerability Reward Program) kaudu, teenivad kuni 26. maini 2022 lisaks tavapreemiale 50% boonust.
Veakütid saavad Android 13 beetaversiooniga Google Pixeli telefonides kasutatava Titan M koodi kaugkäivitamise täieliku ahela eest saada maksimaalselt 1,5 miljonit dollarit.
'Ajavahemikus 26. aprillist 2022 kuni 26. maini 2022 on kõik turvaaukud, mis on reprodutseeritud ainult Android 13 Beta 1-s, sobilikud lisaks tavalisele boonusmaksele 50% lisatasu saamiseks,' öeldakse selles. ettevõte portaalis Bug Hunters.
'Haavatavused peavad olema Android 13 jaoks ainulaadsed ja neid ei tohi kopeerida üheski teises Androidi versioonis.'
Google palus sobilike haavatavuste esitajatel lisada oma aruannete pealkirjasse fraas „Android 13 beeta”, et tagada nende õige märgistamine selle tasulise boonusprogrammi jaoks.
Kvalifitseeruvate vigade loend sisaldab neid, mis leiti Androidi avatud lähtekoodiga projektis (AOSP) ja muus operatsioonisüsteemi koodis, samuti OEM-i teegis ja draiverikoodis, süsteemis kiibis (SoC), mikrokontrolleri üksuses (MCU) ja mis tahes muus tarkvaras. mida kasutab Android. seadmeid, kui need mõjutavad Google'i seadmete ja platvormide turvalisust.
Android 13 beetaversioonis 26.04.22-26.05.22 avastatud turvaaukude eest saab maksta 50% boonust (maksimaalselt kuni 1,5 miljonit dollarit haavatavuse kohta). täielik koodi kaugkäitamise ahel Titan M-s). Täpsemat teavet leiate Androidi preemiate lehelt.
- Google VRP (Google Bug Hunters) (@GoogleVRP) 28. aprill 2022
Teadlastel on õigus saada lisatasusid, kui nad pakuvad täielikke kasutusahelaid, mis ühendavad mitu turbeviga ja demonstreerivad suvalist koodi täitmist, andmete väljafiltreerimist või lukustuskuva möödasõitu (saavutatakse tarkvara kaudu).
Lõpliku hüvituse summa kõigi teatatud vigade eest otsustab Google'i boonuskomisjon ja see sõltub mitmest tegurist, sealhulgas (kuid mitte ainult) ehitatava ärakasutamise saadavusest, üksikasjalikust aruandest, ründe vektorist ja usaldusväärsusest. ärakasutamisest.
'Androidi arendajapõhistes eelvaateversioonides olevad kasutusketid võivad saada kuni 50% boonust,' lisab Google.
Koodi käivitamist võimaldavate haavatavuste ärakasutamise maksimaalne tasu ulatub Pixel Titan M vigade eest kuni 1 miljoni dollarini, arvestamata Androidi eelvaate makseboonust.
Andmete väljafiltreerimise vead võivad samuti teenida uurijatele kuni 500 000 dollari suuruse tasu Pixel Titan M-iga kaitstud tundlike andmete eest, samas kui tarkvarapõhisest lukustuskuvast möödahiilimise eest võib maksta kuni 100 000 dollarit.
Google'i VRP tehniline programmijuht Jan Keller paljastas 2021. aasta juulis, et Google on pärast oma esimese VRP enam kui kümme aastat tagasi käivitamist maksnud preemiaid enam kui 2000 turbeteadlasele 84 erinevast riigist enam kui 11 000 veast teatamise eest. aastat.
Kokku on Google alates 2010. aasta jaanuarist, mil ta käivitas Chromiumi haavatavuse preemiaprogrammi, välja maksnud rohkem kui 29 miljonit dollarit.
Ettevõte andis 2021. aastal välja rekordilised 8 700 000 dollari suurune preemia, sealhulgas 157 000 dollari suurune väljamakse ärakasutamise ahela eest, mis on Androidi VRP ajaloo kõrgeim summa.
Mida sa arvad?
