Google programmi di ricompensa per aver identificato le vulnerabilità nei loro prodotti, applicazioni Android e vari software open source. L'importo totale dei premi pagati nel 2019 è stato di 6.5 milioni di dollari, di cui 2.1 milioni di dollari sono stati pagati per vulnerabilità nei servizi Google, 1.9 milioni di dollari in Android, 1 milione di dollari in Chrome e 800mila dollari in applicazioni Google Play (il resto è stato stanziato per donazioni). Per fare un confronto, nel 2018 sono stati pagati un totale di 3.4 milioni di dollari e nel 2015 2 milioni di dollari. In 9 anni, l’importo totale dei pagamenti ammontava a 21 milioni di dollari.
461 ricercatori hanno ricevuto premi. Il pagamento più grande è stato di 201mila dollari il ricercatore Guang Gong, che ha identificato una vulnerabilità che consente l'esecuzione di codice in modalità remota sul dispositivo Pixel 3 (sono stati ricevuti 161mila dollari per vulnerabilità in Android e 40mila per vulnerabilità in Chrome).
Nel 2019 Google era un premio per l'identificazione delle vulnerabilità nelle popolari applicazioni Android, e il costo delle informazioni su una vulnerabilità sfruttata in remoto nelle applicazioni Google Android è stato aumentato da 5 a 20mila dollari, la fuga di dati e l'accesso ai componenti protetti da 1000 a 3000 dollari. La ricompensa per un exploit volto a compromettere completamente un Chromebook o un Chromebox dalla modalità di accesso ospite è stata aumentata a $ 150.
Il compenso massimo per la creazione di un exploit per sfuggire all'ambiente sandbox di Chrome è stato aumentato da 15 a 30mila dollari, per un metodo di aggiramento del controllo di accesso in JavaScript (XSS) da 7.5 a 20mila dollari, per organizzare l'esecuzione di codice remoto al momento del rendering a livello di sistema da 7.5 a 10mila 4mila dollari, per identificare fughe di informazioni - da 5 a 20-7500mila dollari. Sono stati introdotti pagamenti per metodi di spoofing nell'interfaccia utente (5000 dollari), escalation di privilegi nella piattaforma web (5000 dollari) e per aggirare la protezione contro lo sfruttamento delle vulnerabilità (1000 dollari). I pagamenti per preparare una descrizione elementare e di alta qualità di una vulnerabilità senza dimostrare l'exploit sono stati raddoppiati. Il pagamento bonus per l'identificazione di una vulnerabilità utilizzando Chrome Fuzzer è stato aumentato a $ XNUMX.
Fonte: opennet.ru