最近谷歌公告中推出一項新的Android漏洞賞金計劃,邀請技術嫻熟的個人將他們的專業知識用於測試,並有可能獲得豐厚的獎勵。該計劃承諾為那些能夠發現和報告 Android 作業系統中的安全漏洞的人提供慷慨的獎勵,可能高達數萬美元。
在計劃摘要中概述,Google 此移動 VRP(漏洞獎勵計劃)主要重點在於第一方 Android 應用程式。目標是識別和解決這些應用程式中的漏洞,最終確保用戶數據的安全。通過鼓勵研究人員發現潛在的缺陷,Google 旨在加強其 Android 生態系統的穩健並保護用戶隱私。
VRP(漏洞獎勵計劃)是如何進行呢?
該計劃涵蓋第 1 層應用程式,其中包括 Google Play 服務、AGSA、Google Chrome、Google Cloud、Gmail和 Chrome 遠端桌面等產品。這些應用程式被認為在該計劃的範圍內,旨在識別和解決潛在漏洞。
此外,該計劃將其覆蓋範圍擴展到第 1 層應用程式之外,包括由各種實體開發的應用程式。其中包括 Google LLC、Developed with Google、Research at Google、Red Hot Labs、Google Samples、Fitbit LLC、Nest Labs Inc.、Waymo LLC 和 Waze。通過包含來自這些開發人員的應用程式,該計劃旨在擴大範圍,以提高與谷歌及其附屬實體相關的各種軟體產品的安全性。
錯誤賞金計劃的獎勵結構最低為 500 美元,適用於發現漏洞,例如敏感數據盜竊或第 3 層應用程式中發現的其他安全問題。當攻擊者與目標在同一網路上執行時,此特定獎勵級別相關。
最豐厚的獎勵是遠端任意代碼執行,成功的發現可以分別為第 1、2 和 3 層獎勵 30,000 美元、25,000 美元和 20,000 美元。這會激勵研究人員專注於識別和報告程式指定層級中的關鍵漏洞。
此外,該計劃的小組有權酌情發放 1,000 美元的獎金。可以出於各種原因授予這些額外獎勵,例如異常令人驚訝的漏洞或提供對已發現漏洞的詳細見解和分析的特殊文章。酌情發放的獎金用於表彰漏洞賞金計劃參與者做出的傑出貢獻和非凡努力。
除了任意代碼執行和敏感數據竊取外,Mobile VRP 程式還認識到其他漏洞也可能對安全產生影響,並將予以適當考慮。這突出了該計劃對徹底評估潛在安全風險並確保全面覆蓋的承諾。
有關該計劃的更多信息,包括不合格發現的具體示例和更詳細的指南,感興趣的個人可以參考官方網站。【傳送門】
謝謝收看
留言列表