Google programas de recompensa por identificar vulnerabilidades en sus productos, aplicaciones de Android y diversos software de código abierto. El monto total de recompensas pagadas en 2019 fue de 6.5 millones de dólares, de los cuales 2.1 millones de dólares se pagaron por vulnerabilidades en los servicios de Google, 1.9 millones de dólares en Android, 1 millón de dólares en Chrome y 800 mil dólares en aplicaciones de Google Play (el resto se destinó a donaciones). En comparación, en 2018 se pagó un total de 3.4 millones de dólares y en 2015, 2 millones de dólares. Durante 9 años, el monto total de los pagos ascendió a 21 millones de dólares.
461 investigadores recibieron premios. El mayor pago de 201 mil dólares. El investigador Guang Gong, quien identificó una vulnerabilidad que permite la ejecución remota de código en el dispositivo Pixel 3 (se recibieron 161 mil dólares por vulnerabilidades en Android y 40 mil por vulnerabilidades en Chrome).
En 2019 Google fue un premio por identificar vulnerabilidades en aplicaciones populares de Android, y el costo de la información sobre una vulnerabilidad explotada remotamente en las aplicaciones de Google para Android se incrementó de 5 a 20 mil dólares, la filtración de datos y el acceso a componentes protegidos de 1000 a 3000 dólares. La recompensa por un exploit que comprometa completamente un Chromebook o Chromebox desde el modo de acceso de invitados se ha incrementado a 150 dólares.
El pago máximo por crear un exploit para escapar del entorno Sandbox de Chrome se ha incrementado de 15 a 30 mil dólares, por un método para eludir el control de acceso en JavaScript (XSS) de 7.5 a 20 mil dólares, por organizar la ejecución remota de código en el renderizado. nivel del sistema de 7.5 a 10 mil 4 mil dólares, para identificar fugas de información, de 5 a 20-7500 mil dólares. Se han introducido pagos por métodos de suplantación de identidad en la interfaz de usuario (5000 dólares), escalada de privilegios en la plataforma web (5000 dólares) y elusión de la protección contra la explotación de vulnerabilidades (1000 dólares). Los pagos por preparar una descripción básica y de alta calidad de una vulnerabilidad sin demostrar un exploit se han duplicado. El pago de bonificación por identificar una vulnerabilidad utilizando Chrome Fuzzer se ha incrementado a XNUMX dólares.
Fuente: opennet.ru