Google telah meluncurkan Mobile Vulnerability Rewards Program (Mobile VRP), program hadiah bug baru yang akan membayar peneliti keamanan untuk kelemahan yang ditemukan di aplikasi Android perusahaan.
“Kami sangat senang untuk mengumumkan Mobile VRP baru! Kami sedang mencari bughunter untuk membantu kami menemukan dan memperbaiki kerentanan dalam aplikasi seluler kami,” Google VRP tweeted.
Seperti yang dikatakan perusahaan, tujuan utama di balik Mobile VRP adalah untuk mempercepat proses menemukan dan memperbaiki kelemahan pada aplikasi Android pihak pertama, yang dikembangkan atau dipelihara oleh Google.
Aplikasi yang termasuk dalam cakupan Mobile VRP termasuk yang dikembangkan oleh Google LLC, Dikembangkan dengan Google, Riset di Google, Red Hot Labs, Google Samples, Fitbit LLC, Nest Labs Inc, Waymo LLC, dan Waze.
Daftar aplikasi dalam cakupan juga berisi apa yang Google gambarkan sebagai aplikasi Android “Tier 1”, yang mencakup aplikasi berikut (dan nama paketnya):
- Layanan Google Play (com.google.android.gms)
- AGSA( com.google.android.googlequicksearchbox)
- Google Chrome (com.android.chrome)
- Google Cloud (com.google.android.apps.cloudconsole)
- Gmail (com.google.android.gm)
- Chrome Desktop Jarak Jauh (com.google.chromeremotedesktop)
Kerentanan yang memenuhi syarat termasuk yang memungkinkan eksekusi kode arbitrer (ACE) dan pencurian data sensitif, dan kelemahan yang dapat digabungkan dengan kelemahan lain untuk menyebabkan dampak serupa.
Ini termasuk izin tanpa induk, kelemahan penelusuran jalur atau penelusuran jalur zip yang menyebabkan penulisan file arbitrer, pengalihan maksud yang dapat dieksploitasi untuk meluncurkan komponen aplikasi yang tidak diekspor, dan bug keamanan yang disebabkan oleh penggunaan maksud tertunda yang tidak aman.
Google mengatakan akan memberi hadiah maksimal $30.000 untuk eksekusi kode jarak jauh tanpa interaksi pengguna dan hingga $7.500 untuk bug yang memungkinkan pencurian data sensitif dari jarak jauh.
| Kategori | 1) Jarak Jauh/Tidak Ada Interaksi Pengguna | 2) Pengguna harus mengikuti tautan yang mengeksploitasi aplikasi yang rentan | 3) Pengguna harus menginstal aplikasi jahat atau aplikasi korban dikonfigurasi dengan cara yang tidak standar | 4) Penyerang harus berada di jaringan yang sama (misalnya MiTM) |
|---|---|---|---|---|
| Eksekusi Kode Sewenang-wenang | $30.000 | $15.000 | $4.500 | $2.250 |
| Pencurian Data Sensitif | $7.500 | $4.500 | $2.250 | $750 |
| Kerentanan Lainnya | $7.500 | $4.500 | $2.250 | $750 |
“Mobile VRP mengakui kontribusi dan kerja keras para peneliti yang membantu Google meningkatkan postur keamanan aplikasi Android pihak pertama kami,” Google dikatakan.
“Tujuan dari program ini adalah untuk mengurangi kerentanan pada aplikasi Android pihak pertama, dan dengan demikian menjaga keamanan pengguna dan data mereka.”
Pada Agustus 2022, perusahaan diumumkan itu akan membayar peneliti keamanan untuk menemukan bug dalam versi rilis terbaru perangkat lunak sumber terbuka Google (Google OSS), termasuk proyeknya yang paling sensitif seperti Bazel, Angular, Golang, buffer Protokol, dan Fuchsia.
Sejak meluncurkan VRP pertamanya lebih dari satu dekade yang lalu, pada tahun 2010Google telah memberi penghargaan lebih dari $50 juta kepada ribuan peneliti keamanan di seluruh dunia karena melaporkan lebih dari 15.000 kerentanan.
Pada tahun 2022 itu diberikan $12 jutatermasuk pembayaran $605.000 yang memecahkan rekor untuk rantai eksploitasi Android dari lima bug keamanan terpisah yang dilaporkan oleh gzobqq, yang tertinggi dalam sejarah Android VRP.
Satu tahun sebelumnya, peneliti yang sama mengirimkan rantai eksploitasi kritis lainnya di Android, menghasilkan $157.000 lagi—rekor bounty bug sebelumnya dalam sejarah Android VRP pada saat itu.
