Google и еволюцията на наградите за уязвимости в сигурността на Android и приложенията

  • Google е отпуснала до 1,5 милиона долара на изследователи, които открият критични уязвимости в Android, въпреки че сумите варират в зависимост от вида и тежестта на недостатъка.
  • Програмата за награди за сигурност на Google Play е прекратена поради намаляване на докладваните уязвимости, което отразява подобрената сигурност в цялата екосистема на Android.
  • В момента усилията са съсредоточени върху мобилния VRP, насочен към приложения, разработени от Google, и предлагащи награди до 30.000 XNUMX долара за критични грешки.
Angel Pitarque

8 Minutos

Google награждава уязвимостите на Android

Сигурността е една от най-големите грижи на Google за екосистемата на Android и най-популярните приложения. Изправена пред увеличаването на сложните кибератаки и растежа на потребителската база, компанията е решила да насърчи сътрудничеството на изследователи в областта на сигурността чрез различни... програми за награди за уязвимости, по-известен като програми за награди за грешки. Тези програми се развиха през последните години, предлагайки плащания до 1,5 милиона долара в изключителни случаи и предефинирайки подхода си въз основа на нуждите и зрелостта на платформата.

Google награждава уязвимостите на Android

Програми за награди на Google: Фундаментална стратегия за сигурност

Google внедри няколко инициативи, насочени към възнаграждаване на тези, които помагат за идентифицирането и смекчаването на уязвимостите в Android и ключовите му приложения. Основните програми включват:

  • Награди за сигурност на Android (ASR)Предназначено за уязвимости открити на устройства с операционна система Android и Pixel.
  • Програма за награди за мобилна уязвимост (Mobile VRP)Фокусирано върху приложения разработени директно от Google, като например Gmail, Chrome и услугите за Google Play.
  • Програма за награди за сигурност на Google Play (GPSRP): Фокусиран върху приложения на трети страни в Google Play Store, вече затворен.

Тези програми позволиха на Google да поддържа съвместни усилия устойчиво участие с участието на експерти, етични хакери и разработчици от цял ​​свят. По този начин компанията успя да повиши стандартите за сигурност на своята платформа и да открие потенциални недостатъци, които биха могли да засегнат милиони потребители по-рано.

Награди за сигурност на Android: Награди, които могат да достигнат до 1,5 милиона долара

Награди за сигурност на Android

Google обяви a значително разширяване на финансовите им възнаграждения за тези, които успеят да демонстрират сериозни уязвимости в Android, особено в неговата линия устройства Pixel. Според екипа по сигурността на Android, максималната претендирана сума може да достигне 1 милион долара за пълномащабно дистанционно нарушение на кода с постоянен ефект, засягащо защитния елемент Titan M в телефоните Pixel.

Освен това, Google стартира специална бонус програма 50% за експлойти, открити в предварителните версии на Android за разработчици. По този начин максималната награда достига таван от 1,5 милиона долара при тези много специфични обстоятелства.

Категориите уязвимости, обхванати от ASR, варират от критични системни и хардуерни повреди до проблеми със сигурността. нарушение на данните, заобикаляне на заключен екран и компромиси със сигурността в елементи като чипа Titan M. Наградите обикновено варират от 100.000 500.000 до XNUMX XNUMX долара, в зависимост от сериозността, трудността на експлойта и потенциалното му въздействие върху потребителите. Въпреки това, наличието на бонуси за сложни и постоянни експлойти прави тази програма сред най-щедрите в индустрията.

„Освен това ще стартираме специална програма, предлагаща 50% бонус за експлойти, открити в специфични предварителни версии на Android за разработчици, което означава, че нашият най-голям награден фонд вече е 1,5 милиона долара.“

Новите награди на ASR важат от датата на обявяването им, като се възнаграждават отчетите, подадени от този момент нататък с новата система; Предишните отчети се заплащат според предварително договореното.

Възходът и падението на Програмата за награди за сигурност на Google Play (GPSRP)

Награда за уязвимост в Android

El Програма за награди за сигурност на Google Play (GPSRP) беше пионерска инициатива, която в продължение на години канеше изследователи по сигурността и етични хакери да откриват уязвимости в най-популярните приложения в Google Play Store. Целта му беше да се идентифицират грешки, които биха могли да повлияят на Уединение, данни или целостта на устройства с Android.

По време на своето съществуване програмата е отпускала награди, вариращи от 500 долара за нарушения на данните до 20.000 XNUMX долара за... критични уязвимости използваеми дистанционно и без намеса на потребителя.

Въпреки това, Google обяви, затваряне на GPSRP. Основната причина за това решение е значителното намаляване на броя на докладваните уязвимости, подлежащи на предприемане на действия, което е ясен симптом за цялостното подобрение на сигурността в... Екосистема на Android. Докладите, получени до крайния срок, ще бъдат оценени и компенсирани, но нови случаи вече не се приемат. Тази промяна означава, че разработчиците на приложения от трети страни в Google Play ще трябва да поемат по-голяма отговорност за защитата на своите приложения и потребители, тъй като финансовите стимули за външно докладване за приложения на трети страни се премахват.

Програма за награди за уязвимости в мобилните устройства: Обновен и по-целенасочен подход

Програма за награди за уязвимости в мобилните устройства

След края на GPSRP, Google пренасочи усилията си към Програма за награди за мобилна уязвимост (Mobile VRP), най-модерната и специализирана програма. Мобилният VRP е посветен на откриването на уязвимости в приложения, разработени директно от Google и нейните дъщерни дружества, като например Gmail, Chrome, услуги за Google Play, Google Cloud, Google Photos и Диск, наред с много други.

Този подход има за цел да засили сигурността от самото начало Екосистема на Android, тъй като тези приложения често имат достъп до чувствителна информация и се използват от милиони потребители ежедневно. Наградите в мобилния VRP могат да достигнат 30.000 XNUMX долара за критични уязвимости които позволяват дистанционно изпълнение на код без намеса на потребителя, и малко по-малки количества за свързани приложения, в зависимост от нивото на критичност и потенциалното въздействие.

  • Ниво 1Критично важни приложения като Google Play Services, Chrome, Gmail, Google Cloud и основното приложение на Google. Максимална награда от 30.000 XNUMX долара.
  • Level 2: Приложения, които взаимодействат с основни услуги или потребителски данни (Диск, Снимки). До 25.000 XNUMX долара.
  • Level 3: приложения, които не взаимодействат директно с чувствителни услуги. До 20.000 XNUMX долара.

Във всички случаи, крайната награда зависи от тежестта, обхвата и вида на достъпа, получен с докладваната уязвимост.

Резултати и въздействие на програмите за награди на Google

Въздействие на наградите за сигурност на Google

Ангажиментът на Google към програмите за награди не е просто символичен. През последните години компанията е разпространявала десетки милиони долари на стотици изследователи от цял ​​свят за техния принос към сигурността на Android и други платформи. Например, за една година, до 12 милиона на повече от 600 специалисти по сигурността за отговорното идентифициране и докладване на уязвимости.

Валидните отчети за грешки в Chrome, Android и Google Cloud също позволиха на компанията да засили защитата на своите водещи продукти, увеличавайки наградите за сложни случаи, като например избягване на технологии против експлойт (като MiraclePtr в Chrome) или експлоатация на хипервизор, достигайки награди над 100.000 XNUMX долара в специфични контексти.

Актуални тенденции и бъдещето на съвместната сигурност в Android

Закриването на някои програми за възнаграждения, като например GPSRP, не означава края на ангажимента на Google към съвместната сигурност. По-скоро това отбелязва етап на съзряване, в който Екосистема на Android стана по-стабилен и усилията са съсредоточени върху ядрото на критичните приложения и услуги. Подкрепата за разработчици от трети страни ще продължи чрез инструменти за автоматизирано сканиране и най-добри практики, макар и без директни стимули за уязвимости в собствените им приложения.

Настоящата тенденция в мобилната киберсигурност сочи към... по-стратегически и проактивен подход. Google вече насърчава защитата и укрепването на най-чувствителните компоненти, като същевременно разчита на споделена отговорност между компанията, разработчиците и крайните потребители. Освен това, внедряването на решения като Advanced Protection за потребители, изложени на по-висок риск, и засилването на откриването на прониквания и регистрирането в Android подчертават важността на комбинирането отбранителни технологии, изкуствен интелект и човешко сътрудничество да предвиждат и реагират на възникващи заплахи.

Сътрудничество в сигурността на Google Android

Количеството и качеството на наградите продължават да се развиват. От една страна, се насърчават все по-задълбочени разследвания на силно сложни повреди, а от друга, се засилват вътрешните и автоматизирани одити. Освен това, напредъкът в изкуствения интелект, прилаган за наблюдение и защита, позволява на Google и най-уязвимите потребители бързо да откриват и реагират на потенциални целенасочени атаки.

Свързана статия:
Пълно ръководство за печелене на пари с Whaff Rewards на Android: Методи, съвети и ревюта

Еволюцията на програмите за възнаграждения и високите им нива показват, че Google разбира сигурността като динамичен и съвместен процес. Координираната работа между изследователи, разработчици и самата компания е ключова за превръщането на Android във все по-сигурна среда, където постоянните иновации в отбранителните системи и прозрачността в процесите на възнаграждение имат значение и насърчават доверието между потребителите и специалистите по сигурността.