Google tocmai a îmbunătățit cu adevărat miza pentru vânătorii de vulnerabilități, mărind de zece ori recompensele pentru descoperirea bug-urilor de tip execuție de cod la distanță (RCE) în anumite aplicații Android. Acum, dacă ești expert în securitate și ai ochi bun pentru bug-uri, poți câștiga până la 300.000 de dolari, cu posibilitatea de a ajunge la 450.000 de dolari pentru rapoarte de excepție.
Această schimbare majoră în Programul de Recompense pentru Vulnerabilități Mobile (Mobile VRP) vizează aplicațiile de nivel 1, care includ servicii esențiale ca Google Play Services, aplicația Android Google Search (AGSA), Google Cloud și Gmail. Google își dorește acum ca cercetătorii să se concentreze pe erorile care pot duce la furt de date sensibile, oferind 75.000 de dolari pentru exploatarea acestora fără interacțiunea utilizatorului și realizabile la distanță.
Pentru rapoarte de calitate excepțională care includ un patch propus, o mitigare eficace și o analiză a cauzei principale, Google este dispus să plătească de 1,5 ori suma totală a recompensei. Dar, atenție, pentru rapoartele de calitate slabă, care nu oferă descrieri detaliate, un exploit demonstrativ sau pași clari de reproducere a vulnerabilității, recompensa se înjumătățește.
În cadrul acestui program, Google a introdus și modificări minore regulilor, cum ar fi integrarea multiplicatorului de 2x pentru SDK-uri în recompensele regulare, simplificând astfel procesul decizional al panelului și crescând în general recompensele acordate.
Lansat în mai 2023, Mobile VRP a avut ca obiectiv principal accelerarea procesului de descoperire și remediere a slăbiciunilor de securitate din aplicațiile Android dezvoltate sau menținute de Google. După un an de la lansare, programul a primit peste 40 de rapoarte de securitate valide, apropiindu-se de 100.000 de dolari în recompense plătite cercetătorilor.
