グーグル 自社製品、Android アプリケーション、さまざまなオープンソース ソフトウェアの脆弱性を特定した場合に報奨プログラムを提供します。 2019年に支払われた報奨金の総額は6.5万ドルで、そのうち2.1万ドルがGoogleサービスの脆弱性、1.9万ドルがAndroid、1万ドルがChrome、800万ドルがGoogle Playアプリケーションに支払われました(残りは寄付に充てられました)。 比較のために、2018年には総額3.4万ドルが支払われ、2015年には2万ドルが支払われました。 9年間で支払った総額は21万ドルに達した。
461名の研究者が受賞しました。 最高額の201万XNUMXドルの支払い 研究者の Guang Gong 氏は、Pixel 3 デバイスでリモートでコードが実行される脆弱性を特定しました (Android の脆弱性に対して 161 万 40 ドル、Chrome の脆弱性に対して XNUMX 万ドルが受け取られました)。
2019 年に Google は 人気の Android アプリケーションの脆弱性を特定すると賞金が与えられ、Google Android アプリケーションのリモート悪用された脆弱性に関する情報のコストは 5 万ドルから 20 ドルに、データ漏洩と保護されたコンポーネントへのアクセスの場合は 1000 ドルから 3000 ドルに増額されました。 ゲスト アクセス モードから Chromebook または Chromebox を完全に侵害するエクスプロイトに対する報奨金は 150 ドルに増額されました。
Chrome サンドボックス環境から逃れるためのエクスプロイトを作成する場合の最高支払額は 15 ドルから 30 ドルに、JavaScript (XSS) でのアクセス制御をバイパスする方法は 7.5 ドルから 20 ドルに、レンダリング時にリモート コード実行を組織する場合は 7.5 ドルから 10 ドルに増額されました。システムレベルは4〜5万20万ドル、情報漏洩の特定には7500〜5000〜5000万ドル。 ユーザー インターフェイスでのなりすまし (1000 ドル)、Web プラットフォームでの権限の昇格 (XNUMX ドル)、および脆弱性悪用に対する保護のバイパス (XNUMX ドル) の手法に対して支払いが導入されました。 エクスプロイトを実証せずに脆弱性の高品質かつ基本的な説明を作成する場合の支払いは XNUMX 倍になりました。 Chrome Fuzzer を使用して脆弱性を特定した場合のボーナスの支払いが XNUMX ドルに増額されました。
出所: オープンネット.ru