Google belønningsprogrammer for å identifisere sårbarheter i produktene deres, Android-applikasjoner og diverse åpen kildekode-programvare. Det totale beløpet for belønninger som ble utbetalt i 2019 var 6.5 millioner dollar, hvorav 2.1 millioner dollar ble betalt for sårbarheter i Google-tjenester, 1.9 millioner dollar i Android, 1 million dollar i Chrome og 800 2018 dollar i Google Play-applikasjoner (resten ble bevilget til donasjoner). Til sammenligning ble det i 3.4 betalt totalt 2015 millioner dollar, og i 2 9 millioner dollar. Over 21 år utgjorde det totale betalingsbeløpet XNUMX millioner dollar.
461 forskere mottok priser. Den største betalingen på 201 tusen dollar forsker Guang Gong, som identifiserte en sårbarhet som tillater ekstern kjøring av kode på Pixel 3-enheten ($161 tusen ble mottatt for sårbarheter i Android og 40 tusen for sårbarheter i Chrome).
I 2019 var Google en premie for å identifisere sårbarheter i populære Android-applikasjoner, og kostnadene for informasjon om en eksternt utnyttet sårbarhet i Google Android-applikasjoner er økt fra 5 til 20 tusen dollar, datalekkasje og tilgang til beskyttede komponenter fra 1000 til 3000 dollar. Belønningen for en utnyttelse for å fullstendig kompromittere en Chromebook eller Chromebox fra gjestetilgangsmodus er økt til $150 XNUMX.
Den maksimale betalingen for å lage en utnyttelse for å unnslippe Chrome-sandkassemiljøet er økt fra 15 til 30 tusen dollar, for en metode for å omgå tilgangskontroll i JavaScript (XSS) fra 7.5 til 20 tusen dollar, for å organisere ekstern kjøring av kode ved gjengivelsen systemnivå fra 7.5 til 10 tusen 4 tusen dollar, for å identifisere informasjonslekkasjer - fra 5 til 20-7500 tusen dollar. Det er innført betalinger for metoder for spoofing i brukergrensesnittet ($5000), eskalering av privilegier i nettplattformen ($5000) og omgå beskyttelse mot utnyttelse av sårbarheter ($1000). Betalinger for å utarbeide en grunnleggende beskrivelse av en sårbarhet av høy kvalitet uten å demonstrere en utnyttelse er doblet. Bonusbetalingen for å identifisere en sårbarhet ved hjelp av Chrome Fuzzer er økt til $XNUMX.
Kilde: opennet.ru