Google, belirli Android uygulamalarındaki uzaktan kod çalıştırma güvenlik açıklarını bildirenlere verilen ödülleri on kat artırarak 30.000 $’dan 300.000 $’a yükseltti ve olağanüstü kalitede raporlar için maksimum ödül tutarı 450.000 $’a ulaştı.
Şirket bu değişiklikleri Mobil Güvenlik Açığı Ödül Programı’nda (Mobile VRP) yaptı ve bunlar 1. Kademe uygulamalar olarak tanımladığı uygulamalar için geçerli. Kapsam dahilindeki uygulamalar listesinde Google Play Hizmetleri, Android Google Arama uygulaması (AGSA), Google Cloud ve Gmail yer alıyor.
Google artık güvenlik araştırmacılarının hassas veri hırsızlığına yol açabilecek açıklara odaklanmasını istiyor ve kullanıcı etkileşimi gerektirmeyen ve uzaktan kullanılabilen açık tespitleri için 75.000 dolar ödeyecek.
Önerilen bir yama veya etkili bir hafifletme ve diğer sorun varyantlarını bulmaya yardımcı olacak bir kök analizi içeren olağanüstü kaliteli raporlar için şirket, toplam ödül miktarının 1,5 katını ödeyecek ve araştırmacıların 1. Seviye bir Android uygulamasındaki bir RCE istismarı için 450.000 $ ‘a kadar kazanmalarına olanak tanıyacak. Bu ödülleri alabilmek için doğru ve ayrıntılı açıklamalar, bir kavram kanıtı istismarı, güvenlik açığını güvenilir bir şekilde yeniden üretmek için kolay adımlar ve böceğin etkisinin açık bir göstergesinin sağlanması gerekiyor.
Google bilgi güvenliği mühendisi Kristoffer Blasiak “Kurallarımızda bazı ek, daha küçük değişiklikler de yapıldı. Örneğin, SDK’lar (yazılım geliştirme kitleri) için açık tespit ödülleri de iki katına çıkarıldı. Bu, genel ödülleri artıracak ve panel karar mekanizmalarını daha kolay hale getirecek,” diyor ve ekliyor:
“Başarmak istediğimiz şeylerden biri, açık avcılarını raporlarını hazırlamak ve iyileştirmek için biraz daha fazla zaman harcamaya teşvik etmektir. Açık avcılarını bunu yapmaya teşvik etmek için, bulgularının etkisini açıkça gösteren yüksek kaliteli raporlar oluştururken harcadıkları ekstra zaman ve çaba için hata avcılarını ödüllendirmek üzere yeni bir ödül sistemi oluşturduk. Yüksek kaliteli raporlar VRP’nin daha hızlı karar vermesine yardımcı olur ve hata avcılarının araştırmaları için uygun ödüller almasını sağlar. Başka bir deyişle: Daha fazla ve daha hızlı ödeme alın!”
Google açık raporlamaları artık şu üç kategoriden birine girecek:
- Olağanüstü kalite (1,5 kat ödül miktarı),
- İyi kalite (1x ödül miktarı)
- Düşük kalite (0,5x ödül miktarı)
Google, şirketin Android uygulamalarındaki güvenlik açıkları için güvenlik araştırmacılarına ödeme yapmak üzere geçtiğimiz Mayıs ayında Mobile VRP’yi tanıttı. Hata ödül programının ana hedefi, Google tarafından korunan veya geliştirilen birinci taraf Android uygulamalarındaki güvenlik zayıflıklarını keşfetme ve düzeltme sürecini hızlandırmak.
