查看原文
其他

谷歌推出安卓应用奖励计划,最高赏金3万美元

Sergiu Gatlan 代码卫士 2023-06-20

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

谷歌推出移动漏洞奖励计划 (Mobile VRP),为从公司安卓应用中发现漏洞的安全研究员发放奖励。

谷歌指出,Mobile VRP的主要目的是加速找到并修复由谷歌开发或维护的第一方安卓应用中漏洞的流程。该漏洞奖励计划涵盖的应用程序包括由 Google LLC、Developed with Google、Research at Google、Red Hot Labs、Google Samples、Fitbit LLC、Nest Labs Inc、Waymo LLC 和 Waze 开发的应用。另外,还包括谷歌所定义为“第一层级”的安卓应用(及其包名称):

  • Google Play Services (com.google.android.gms)

  • AGSA( com.google.android.googlequicksearchbox)

  • Google Chrome (com.android.chrome)

  • Google Cloud (com.google.android.apps.cloudconsole)

  • Gmail (com.google.android.gm)

  • Chrome Remote Desktop (com.google.chromeremotedesktop)

符合条件的漏洞包括可导致任意代码执行和敏感数据被盗的漏洞以及可与其它缺陷组合利用导致类似影响的弱电。这些漏洞和缺陷包括:可导致任意文件写的孤立权限、路径遍历或 zip 路径遍历缺陷、可用于发布非导出应用组件的意图重定向以及由不安全使用未决意图导致的安全漏洞。

谷歌表示,无需用户交互实现远程代码执行的漏洞将获得最多3万美元的赏金,可导致远程敏感信息泄露的漏洞将获得最高7500美元的赏金。

类别

1) 远程/无用户交互

2) 用户必须遵循利用易受攻击app 的链接

3) 用户必须安装以非默认方式配置的恶意或受害者 app

4) 攻击者必须位于同样的网络中(如中间人攻击)

任意代码执行

$30,000

$15,000

$4,500

$2,250

敏感数据失窃

$7,500

$4,500

$2,250

$750

其它漏洞

$7,500

$4,500

$2,250

$750


谷歌表示,“Mobile VRP 奖励研究员为帮助谷歌改进第一方安卓应用安全态势而做出的贡献和付出的辛勤劳动。该计划的目标是缓解安卓应用中的漏洞,保护用户及其数据的安全。”

2022年8月,谷歌宣布将奖励安全研究员发现谷歌开源软件最新版本中的漏洞,这些软件包括谷歌最敏感的项目如 Bazel、Angular、Golang、Protocol 缓冲区以及 Fuchsia。

自2010年推出首个VRP以来,谷歌已向数千名安全研究员所报告的超过1.5万个漏洞颁发超过5000万美元的赏金。2020年,谷歌共颁发1200万美元的赏金,其中由 gzobqq 发现的由5个漏洞组成的利用链获得安卓VRP史上最高赏金,60.5万美元。一年前,这名研究员提交了安卓系统中另外一枚严重的利用链,获得15.7万美元的赏金,也是当时安卓 VRP 史上最高赏金。




代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com









推荐阅读

奇安信入选全球《软件成分分析全景图》代表厂商

商业监控软件厂商利用多个0day 攻击安卓和 iOS 设备

Chromium 漏洞可用于绕过安卓设备上的安全特性

补丁延迟导致数百万台安卓设备易受攻击

亚马逊悄悄修复安卓相册 app 中的高危漏洞

监控软件厂商勾结互联网服务提供商感染iOS和安卓用户



原文链接
https://www.bleepingcomputer.com/news/google/google-launches-bug-bounty-program-for-its-android-applications/


题图:Pixabay License


本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。




奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "赞” 吧~

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存