Google начала платить до $450 тысяч за ошибки RCE

Google объявила об увеличении размера вознаграждения за сообщения об уязвимостях удаленного выполнения кода в некоторых приложениях Android в десять раз — с $30 тысяч до $300 тысяч. 

Компания уже внесла эти изменения в Программу вознаграждений за уязвимости мобильных устройств (Mobile Vulnerability Reward Program, Mobile VRP). В данный список входят сервисы Google Play, приложение Android Google Search (AGSA), Google Cloud и Gmail. 

Компания Google также хочет, чтобы исследователи безопасности сосредоточились на недостатках, которые могут привести к краже конфиденциальных данных. В связи с этим организация готова выплатить $75 тысяч за эксплойты, которые не требуют взаимодействия с пользователем и могут использоваться удаленно. 

Таким образом, если отчет включает предлагаемое исправление или эффективное устранение уязвимости, а также анализ первопричин, помогающий найти другие ее варианты, то компания будет платить в 1,5 раза больше общей суммы вознаграждения. Иными словами, это даст исследователям заработать до $450 тысяч за обнаружение RCE. 

В то же время специалисты смогут претендовать на половину от суммы вознаграждения, если в отчетах нет точных и подробных описаний, эксплойта, простых шагов для надежного воспроизведения уязвимости, наглядной демонстрации ее влияния. 

Ранее редакция IT Speaker писала о том, что группа пентестеров смогла взломать чат-бот Google Bard и заработала $50 тысяч в рамках мероприятия Google Bug Bounty.