Google heeft het zogenaamde “Mobile Vulnerability Rewards Program” geïntroduceerd. De techgigant wil met het bug bounty-initiatief beveiligingsonderzoekers compenseren voor het opsporen van kwetsbaarheden in de Android-applicaties van het bedrijf. “We zijn verheugd om het nieuwe Mobile VRP te onthullen! We zijn actief op zoek naar bug hunters om ons te helpen bij het ontdekken en verhelpen van kwetsbaarheden in onze mobiele applicaties”, twitterde Google VRP.
Het primaire doel is om het proces van het identificeren en aanpakken van zwakheden in first-party Android-apps te versnellen. Uiteraard gaat het daarbij alleen om apps die door Google zijn ontwikkeld of worden onderhouden.
Binnen het bereik van de Mobile VRP vallen applicaties die zijn gemaakt door Google, het “Developed with Google”-dragen, Research at Google, Red Hot Labs, Google Samples, Fitbit, Nest Labs, Waymo en Waze.
De andere in aanmerking komende apps
De lijst van in aanmerking komende apps omvat ook wat Google “Tier 1” Android-toepassingen noemt. Deze omvatten de volgende apps, samen met hun pakketnamen:
- Google Play Services (com.google.android.gms)
- AGSA (com.google.android.googlequicksearchbox)
- Google Chrome (com.android.chrome)
- Google Cloud (com.google.android.apps.cloudconsole)
- Gmail (com.google.android.gm)
- Chrome Remote Desktop (com.google.chromeremotedesktop)
Kwalificerende kwetsbaarheden betreffen arbitraire code-uitvoering (ACE) mogelijk maken, de diefstal van gevoelige gegevens, en gevaren die kwaadwillende actoren kunnen combineren met andere gebreken om een soortgelijke impact te hebben.
Dit omvat verouderde machtigingen die niet verwijderd zijn, kwetsbaarheden in path traversal of zip path traversal die het mogelijk maken om remote code execution uit te voeren en intent redirections. Criminelen kunnen deze gebruiken om niet-geëxporteerde applicatieonderdelen te starten. Daarnaast looft Google bounty’s uit voor de ontdekking van security-fouten als gevolg van onveilig gebruik van pending intents.
Google betaalt zijn premiejagers
Google heeft een maximale beloning vastgesteld van 30.000 dollar (bijna 28.000 euro) voor het op afstand uitvoeren van code zonder interactie van de gebruiker en tot 7.500 dollar (bijna 7.000 euro) voor bugs die diefstal van gevoelige gegevens op afstand mogelijk maken, naast vele categorieën voor andere kwetsbaarheden.
In augustus 2022 kondigde Google aan security-onderzoekers te willen compenseren voor het ontdekken van bugs in de nieuwste versies van Google open-source software (Google OSS). Hieronder vallen kritieke projecten zoals Bazel, Angular, Golang, Protocol Buffers en Fuchsia.
Na het eerste VRP in 2010 heeft Google meer dan 50 miljoen dollar toegekend aan duizenden beveiligingsonderzoekers wereldwijd. Het programma heeft geleid tot de ontdekking van meer dan 15.000 kwetsbaarheden.
Lees ook: OpenAI start security bug bounty-programma voor AI-modellen
13 uur geleden
