Google atlīdzības programmas par ievainojamību identificēšanu savos produktos, Android lietojumprogrammās un dažādās atvērtā pirmkoda programmatūrā. Kopējā izmaksātā atlīdzības summa 2019. gadā bija 6.5 miljoni ASV dolāru, no kuriem 2.1 miljons ASV dolāru tika izmaksāti par ievainojamībām Google pakalpojumos, 1.9 miljoni ASV dolāru operētājsistēmā Android, 1 miljons ASV dolāru pārlūkprogrammā Chrome un 800 tūkstoši ASV dolāru Google Play lietojumprogrammās (pārējais tika piešķirts ziedojumiem). Salīdzinājumam, 2018. gadā kopā tika izmaksāti 3.4 miljoni ASV dolāru, bet 2015. gadā - 2 miljoni ASV dolāru. 9 gadu laikā kopējā maksājumu summa sasniedza 21 miljonu ASV dolāru.
Balvas saņēma 461 pētnieks. Lielākais maksājums 201 tūkstotis dolāru pētnieks Guang Gong, kurš identificēja ievainojamību, kas ļauj attālināti izpildīt kodu Pixel 3 ierīcē (161 tūkst.$ saņemts par ievainojamībām operētājsistēmā Android un 40 tūkst. par ievainojamībām pārlūkā Chrome).
2019. gadā Google bija balva par ievainojamību noteikšanu populārajās Android aplikācijās un maksa par informāciju par attālināti izmantotu ievainojamību Google Android aplikācijās palielināta no 5 līdz 20 tūkstošiem dolāru, datu noplūde un piekļuve aizsargātajām komponentēm no 1000 līdz 3000 dolāriem. Atlīdzība par Chromebook datora vai Chromebox datora pilnīgu kompromitēšanu no viesa piekļuves režīma ir palielināta līdz 150 XNUMX $.
Maksimālais maksājums par ekspluatācijas izveidi, lai izvairītos no Chrome smilškastes vides, ir palielināts no 15 līdz 30 tūkstošiem dolāru, par piekļuves kontroles apiešanas metodi JavaScript (XSS) no 7.5 līdz 20 tūkstošiem dolāru, par attālas koda izpildes organizēšanu renderēšanas laikā. sistēmas līmenī no 7.5 līdz 10 tūkstošiem 4 tūkstošiem dolāru, informācijas noplūdes identificēšanai - no 5 līdz 20-7500 tūkstošiem dolāru. Ir ieviesti maksājumi par viltošanas metodēm lietotāja saskarnē (5000 USD), tīmekļa platformas privilēģiju eskalāciju (5000 USD) un aizsardzības pret ievainojamību izmantošanu apiešanu (1000 USD). Maksājumi par kvalitatīva un elementāra ievainojamības apraksta sagatavošanu bez ekspluatācijas demonstrēšanas ir dubultoti. Bonusa maksājums par ievainojamības identificēšanu, izmantojot Chrome Fuzzer, ir palielināts līdz USD XNUMX.
Avots: opennet.ru