Tahun lalu, program bug bounty Google memberikan setidaknya $12 juta kepada peneliti yang menemukan kelemahan keamanan pada produk dan layanannya. Angka ini jauh lebih tinggi dibandingkan $8,7 juta yang dibayarkan pada tahun 2021 dan diperkirakan akan terus meningkat di tahun-tahun mendatang. Perusahaan ini kini memperluas upaya penelitian keamanannya dengan program baru yang menargetkan aplikasi pihak ketiga Android.
Awal bulan ini, Google memperbarui Vulnerability Bounty Program di Android dan perangkat Google (VRP), memperkenalkan sistem baru untuk mengevaluasi kualitas laporan bug dan meningkatkan imbalan maksimum untuk menemukan kerentanan kritis hingga $15. Perusahaan menjelaskan pada saat itu bahwa hal ini akan mempermudah perbaikan kelemahan keamanan di ponsel pixel, perangkat Google Nest dan Fitbit, serta di sistem operasi Android secara lebih tepat waktu.
Minggu ini, perusahaan meluncurkan Mobile Vulnerability Rewards Program (Mobile VRP), yang menargetkan para peneliti yang tertarik menyelidiki keamanan aplikasi untuk Android, dikembangkan oleh Google atau perusahaan lain yang tergabung dalam grup Alphabet.
Aplikasi baru mengklasifikasikan aplikasi pihak ketiga Android pada tiga tingkat. Tingkat pertama mencakup aplikasi terpenting, seperti Google Play Services, Google Chrome, Gmail, Chrome Desktop Jarak Jauh, Google Cloud, dan AGSA (widget Google Penelusuran di Android). Tingkat kedua dan ketiga mencakup aplikasi yang dikembangkan oleh divisi penelitian Google, Google Samples, Red Hot Labs, Nest Labs, Waymo, dan Waze.
Adapun jenis kerentanan keamanan yang dicakup oleh program Mobile VRP, Google mengatakan paling tertarik pada bug yang memungkinkan eksekusi kode arbitrer dan pencurian data, sehingga teknisi keamanan perusahaan akan memprioritaskan laporan tersebut. Pada saat yang sama, perusahaan juga mencari untuk belajar tentang kelemahan keamanan lain yang dapat dieksploitasi sebagai bagian dari rantai eksploitasi, termasuk traversal jalur atau kerentanan traversal arsip zip, izin yatim piatu, dan pengalihan yang disengaja yang dapat digunakan untuk meluncurkan non-ekspor komponen aplikasi.
Imbalannya bergantung pada tingkat keparahan kerentanan yang ditemukan dan aplikasi yang terpengaruh, dan Google bersedia membayar hingga $30 untuk penemuan kerentanan yang memungkinkan penyerang mengeksekusi kode jarak jauh tanpa campur tangan pengguna. aplikasi level 000 dan 2 adalah $3 dan $25 sesuai. Jumlah minimum untuk laporan yang memenuhi syarat adalah $000, tetapi Google juga dapat menerapkan bonus sebesar $20 untuk laporan luar biasa.
Program bounty perbaikan bug Google adalah salah satu yang terbesar di industri teknologi, dengan $2022 juta dibayarkan kepada peneliti keamanan pada tahun 12. Hadiah terbesar adalah $605 untuk pakar yang menemukan rangkaian eksploitasi dari lima kerentanan di Android.
Peneliti keamanan yang tertarik dengan Mobile VRP dapat menemukan detail lebih lanjut di sini di sini. Google mengatakan laporan harus ringkas dan menyertakan bukti konsep singkat jika memungkinkan - beberapa panduan tentang cara terbaik mengirimkan laporan bug dapat ditemukan di sini di sini.
Baca juga:
- Samsung memutuskan untuk meninggalkan Google sebagai mesin pencari default
- 2GIS telah dihapus dari Google Play