Google programe de recompensă pentru identificarea vulnerabilităților din produsele lor, aplicații Android și diverse software open source. Suma totală a recompenselor plătite în 2019 a fost de 6.5 milioane de dolari, din care 2.1 milioane de dolari au fost plătiți pentru vulnerabilități în serviciile Google, 1.9 milioane de dolari în Android, 1 milion de dolari în Chrome și 800 de mii de dolari în aplicațiile Google Play (restul au fost alocați pentru donații). Spre comparație, în 2018, s-au plătit un total de 3.4 milioane de dolari, iar în 2015, 2 milioane de dolari. Pe parcursul a 9 ani, suma totală a plăților s-a ridicat la 21 de milioane de dolari.
461 de cercetători au primit premii. Cea mai mare plată de 201 mii de dolari cercetătorul Guang Gong, care a identificat o vulnerabilitate care permite executarea codului de la distanță pe dispozitivul Pixel 3 (161 mii USD au fost primite pentru vulnerabilități în Android și 40 mii pentru vulnerabilități în Chrome).
În 2019, Google a fost un premiu pentru identificarea vulnerabilităților în aplicațiile Android populare, iar costul informațiilor despre o vulnerabilitate exploatată de la distanță în aplicațiile Google Android a crescut de la 5 la 20 de mii de dolari, scurgerile de date și accesul la componentele protejate de la 1000 la 3000 de dolari. Recompensa pentru un exploit care compromite complet un Chromebook sau Chromebox din modul de acces pentru invitați a fost mărită la 150 USD.
Plata maximă pentru crearea unui exploit pentru a scăpa de mediul Chrome sandbox a fost majorată de la 15 la 30 de mii de dolari, pentru o metodă de ocolire a controlului accesului în JavaScript (XSS) de la 7.5 la 20 de mii de dolari, pentru organizarea execuției codului de la distanță la randare nivel de sistem de la 7.5 la 10 mii 4 mii de dolari, pentru identificarea scurgerilor de informații - de la 5 la 20-7500 mii de dolari. Au fost introduse plăți pentru metode de falsificare în interfața cu utilizatorul (5000 USD), escaladare a privilegiilor în platforma web (5000 USD) și ocolirea protecției împotriva exploatării vulnerabilităților (1000 USD). Plățile pentru pregătirea unei descrieri de bază și de înaltă calitate a unei vulnerabilități fără a demonstra un exploit au fost dublate. Plata bonus pentru identificarea unei vulnerabilități folosind Chrome Fuzzer a fost mărită la XNUMX USD.
Sursa: opennet.ru