H Google ανακοίνωσε ότι όλοι οι ερευνητές ασφαλείας που αναφέρουν ευπάθειες του Android 13 Beta μέσω του προγράμματος επιβράβευσης ευπάθειας (VRP) θα λάβουν μπόνους 50% επιπλέον της τυπικής ανταμοιβής έως τις 26 Μαΐου 2022
Οι κυνηγοί σφαλμάτων μπορούν να λάβουν μέγιστη πληρωμή 1,5 εκατομμυρίων $ για μια πλήρη αλυσίδα εκμετάλλευσης απομακρυσμένου κώδικα στο Titan M που χρησιμοποιείται στα τηλέφωνα Google Pixel που εκτελούν έκδοση Android 13 Beta.
«Μεταξύ 26 Απριλίου 2022 και 26 Μαΐου 2022, όλες οι ευπάθειες ασφαλείας που αναπαράγονται αποκλειστικά στο Android 13 Beta 1 είναι επιλέξιμες για ένα μπόνους 50% πληρωμής επιβράβευσης πάνω από την τυπική πληρωμή ανταμοιβής», αναφέρει στην πύλη Bug Hunters.
“Τα τρωτά σημεία πρέπει να είναι αποκλειστικά για το Android 13 και δεν πρέπει να αναπαράγονται σε καμία άλλη έκδοση του Android.”
Η Google ζήτησε από όσους υποβάλλουν κατάλληλες ευπάθειες να συμπεριλάβουν τη φράση “Android 13 Beta” στον τίτλο των αναφορών τους για να διασφαλίσει ότι έχουν επισημανθεί σωστά για αυτό το πρόγραμμα μπόνους πληρωμών.
Η λίστα με τα ελαττώματα που πληρούν τις προϋποθέσεις περιλαμβάνει εκείνα που βρέθηκαν στο Android Open Source Project (AOSP) και σε άλλους κωδικούς λειτουργικού συστήματος, καθώς και σε βιβλιοθήκες και κώδικα προγραμμάτων οδήγησης OEM, σύστημα σε chip (SoC), μονάδα MicroController (MCU) και οποιοδήποτε άλλο λογισμικό χρησιμοποιείται από το Android συσκευές, εάν επηρεάζουν την ασφάλεια των συσκευών και των πλατφορμών Google.
Οι ερευνητές είναι επίσης επιλέξιμοι για επιπλέον ανταμοιβές εάν παρέχουν πλήρεις αλυσίδες εκμετάλλευσης που συνδυάζουν πολλαπλά ελαττώματα ασφαλείας και επιδεικνύουν αυθαίρετη εκτέλεση κώδικα, εξαγωγή δεδομένων ή παράκαμψη οθόνης κλειδώματος (που επιτυγχάνεται μέσω λογισμικού).
Το τελικό ποσό ανταμοιβής για όλα τα αναφερόμενα σφάλματα είναι στη διακριτική ευχέρεια της επιτροπής ανταμοιβής της Google και εξαρτάται από διάφορους παράγοντες, όπως (αλλά δεν περιορίζεται σε) τη διαθεσιμότητα ενός buildable exploit, μια λεπτομερή εγγραφή, το διάνυσμα επίθεσης και αξιοπιστία του exploit.
“Οι αλυσίδες Exploit που βρίσκονται σε συγκεκριμένες εκδόσεις προεπισκόπησης προγραμματιστών του Android είναι επιλέξιμες για ένα επιπλέον μπόνους ανταμοιβής έως και 50%,” προσθέτει η Google.
Η μέγιστη ανταμοιβή εκμετάλλευσης για τρωτά σημεία που επιτρέπουν την εκτέλεση κώδικα φτάνει έως και 1 εκατομμύριο $ για σφάλματα Pixel Titan M χωρίς να λαμβάνεται υπόψη το μπόνους πληρωμής προεπισκόπησης Android.
Τα σφάλματα εξαγωγής δεδομένων μπορούν επίσης να αποφέρουν στους ερευνητές ανταμοιβή έως και 500.000 $ για ευαίσθητα δεδομένα που προστατεύονται από το Pixel Titan M, ενώ οι πληρωμές για παρακάμψεις οθόνης κλειδώματος βάσει λογισμικού μπορούν να ανέλθουν έως και 100.000 $.
Ο Jan Keller, υπεύθυνος τεχνικού προγράμματος Google VRP, αποκάλυψε τον Ιούλιο του 2021 ότι η Google έχει πληρώσει ανταμοιβές σε περισσότερους από 2.000 ερευνητές ασφαλείας από 84 διαφορετικές χώρες για την αναφορά περισσότερων από 11.000 σφαλμάτων από τότε που κυκλοφόρησε το πρώτο της VRP πριν από περισσότερα από δέκα χρόνια.
Συνολικά, η Google είχε πληρώσει πάνω από 29 εκατομμύρια δολάρια σε επιβραβεύσεις bounty από τον Ιανουάριο του 2010, όταν ξεκίνησε το πρόγραμμα επιβράβευσης ευπάθειας Chromium.
Η εταιρεία έχει βραβεύσει ένα ρεκόρ 8.700.000 δολαρίων σε ανταμοιβή
