谷歌本月中旬更新了 Android 漏洞奖励计划,今天谷歌宣布为自家部分 Android 应用推出新的漏洞奖励计划,鼓励安全研究人员检测谷歌的这些应用是否存在安全漏洞。
这个新的漏洞奖励计划被称为移动 VRP,谷歌称该公司正在寻找猎手帮助他们找到并修复移动应用程序中的安全漏洞。也正是如此,移动 VRP 涉及的应用都是谷歌自家的应用程序,而且是预装在 Android 设备上的。
涉及的应用程序包括:
具体的奖励依据漏洞类型和操作不同分为四个档位,最高的是 0click 即无需用户交互即可远程执行任意代码,此漏洞奖励可达 30000 美元。
四个档位分别是:远程 / 无需用户交互、用户必须点击一个利用易受攻击的应用的链接、用户必须安装恶意应用或以非默认方式配置目标应用、攻击者必须和受害者在同一个网络例如 MiTM 中间人攻击。
按照档位不同最高奖励分别是 30000 美元、15000 美元、4500 美元和 2250 美元,谷歌称希望研究人员能够积极参与,减少第一方 Android 应用的漏洞,从而确保用户及其数据安全。
有关移动 VRP 计划请看: