Google programes de recompensa per identificar vulnerabilitats en els seus productes, aplicacions d'Android i diversos programes de codi obert. L'import total de les recompenses pagades el 2019 va ser de 6.5 milions de dòlars, dels quals 2.1 milions de dòlars es van pagar per vulnerabilitats als serveis de Google, 1.9 milions de dòlars a Android, 1 milió de dòlars a Chrome i 800 mil dòlars en aplicacions de Google Play (la resta es van destinar a donacions). En comparació, el 2018 es van pagar un total de 3.4 milions de dòlars, i el 2015, 2 milions de dòlars. Durant 9 anys, l'import total dels pagaments va ascendir a 21 milions de dòlars.
461 investigadors van rebre premis. El pagament més gran de 201 mil dòlars l'investigador Guang Gong, que va identificar una vulnerabilitat que permet l'execució remota de codi al dispositiu Pixel 3 (es van rebre 161 mil dòlars per vulnerabilitats a Android i 40 mil per vulnerabilitats a Chrome).
El 2019 Google va ser un premi per identificar vulnerabilitats en aplicacions populars d'Android, i el cost de la informació sobre una vulnerabilitat explotada de forma remota a les aplicacions d'Android de Google s'ha incrementat de 5 a 20 mil dòlars, la fuga de dades i l'accés a components protegits de 1000 a 3000 dòlars. La recompensa per un exploit per comprometre completament un Chromebook o Chromebox des del mode d'accés de convidat s'ha augmentat a 150 dòlars.
El pagament màxim per crear un exploit per escapar de l'entorn sandbox de Chrome s'ha augmentat de 15 a 30 mil dòlars, per a un mètode de saltar el control d'accés en JavaScript (XSS) de 7.5 a 20 mil dòlars, per organitzar l'execució remota de codi en la representació. nivell del sistema de 7.5 a 10 mil 4 mil dòlars, per identificar fuites d'informació - de 5 a 20-7500 mil dòlars. S'han introduït pagaments per mètodes de falsificació a la interfície d'usuari (5000 dòlars), l'escalada de privilegis a la plataforma web (5000 dòlars) i la protecció contra l'explotació de vulnerabilitats (1000 dòlars). Els pagaments per preparar una descripció bàsica i d'alta qualitat d'una vulnerabilitat sense demostrar una explotació s'han duplicat. El pagament de bonificació per identificar una vulnerabilitat mitjançant Chrome Fuzzer s'ha augmentat a XNUMX dòlars.
Font: opennet.ru