През 2019 г. Google плати 6.5 милиона долара награди за идентифициране на уязвимости

Google обобщени програми за награди за идентифициране на уязвимости в техните продукти, Android приложения и различен софтуер с отворен код. Общата сума на изплатените награди през 2019 г. е 6.5 милиона долара, от които 2.1 милиона долара са изплатени за уязвимости в услугите на Google, 1.9 милиона долара в Android, 1 милион долара в Chrome и 800 хиляди долара в приложения на Google Play (останалите са разпределени за дарения). За сравнение през 2018 г. са изплатени общо 3.4 млн. долара, а през 2015 г. - 2 млн. долара. За 9 години общата сума на плащанията възлиза на 21 милиона долара.

Наградени са 461 изследователи. Най-голямото плащане от 201 хиляди долара имам изследовател Guang Gong, който идентифицира уязвимост, която позволява дистанционно изпълнение на код на устройството Pixel 3 (161 хиляди долара са получени за уязвимости в Android и 40 хиляди за уязвимости в Chrome).

През 2019 г. Google беше въведени награда за идентифициране на уязвимости в популярни приложения за Android, а цената на информацията за дистанционно експлоатирана уязвимост в приложенията на Google Android е увеличена от 5 на 20 хиляди долара, изтичане на данни и достъп до защитени компоненти от 1000 на 3000 долара. Наградата за експлойт за пълно компрометиране на Chromebook или Chromebox от режим на достъп за гости е увеличена на $150 XNUMX.

Максималното плащане за създаване на експлойт за избягване на средата на пясъчника на Chrome е увеличено от 15 на 30 хиляди долара, за метод за заобикаляне на контрола на достъпа в JavaScript (XSS) от 7.5 на 20 хиляди долара, за организиране на отдалечено изпълнение на код при рендиране системно ниво от 7.5 до 10 хиляди 4 хиляди долара, за идентифициране на изтичане на информация - от 5 до 20-7500 хиляди долара. Въведени са плащания за методи за подправяне в потребителския интерфейс ($5000), повишаване на привилегиите в уеб платформата ($5000) и заобикаляне на защита срещу експлоатация на уязвимости ($1000). Плащанията за изготвяне на висококачествено и основно описание на уязвимост без демонстриране на експлойт са удвоени. Бонусното плащане за идентифициране на уязвимост с помощта на Chrome Fuzzer е увеличено до $XNUMX.

Източник: opennet.ru