Η Google έχει αυξήσει σημαντικά τις αμοιβές για ευπάθειες ασφαλείας του Google Chrome που αναφέρονται μέσω του Vulnerability Reward Program (VRP), με τη μέγιστη δυνατή ανταμοιβή, για ένα μόνο σφάλμα, να ξεπερνά τα 250.000 $.
Οι αλλαγές έρχονται καθώς η εταιρεία θα διαφοροποιεί, από εδώ και στο εξής, τις ευπάθειες memory corruption, ανάλογα με την ποιότητα της αναφοράς και την προσπάθεια του ερευνητή να βρει τον πλήρη αντίκτυπο του κενού ασφαλείας.
Οι ανταμοιβές θα αυξηθούν σημαντικά και ειδικά για αναφορές υψηλής ποιότητας, που περιλαμβάνουν και επίδειξη απομακρυσμένης εκτέλεσης κώδικα (RCE) μέσω ενός λειτουργικού exploit.
Δείτε επίσης: Vulnerability Reward Program: Η Google πενταπλασιάζει τις ανταμοιβές!
“Είναι καιρός να εξελίξουμε τις ανταμοιβές και τα ποσά του Chrome VRP για να παρέχουμε μια βελτιωμένη δομή και σαφέστερες προσδοκίες για τους ερευνητές ασφάλειας που μας αναφέρουν σφάλματα. Επίσης, θα δώσουμε κίνητρα για αναφορές υψηλής ποιότητας και βαθύτερη έρευνα για τις ευπάθειες του Chrome, εξερευνώντας τις με τον πλήρη αντίκτυπό τους και τις δυνατότητες εκμετάλλευσής τους“, είπε η Amy Ressler μηχανικός ασφαλείας του Chrome.
“Το υψηλότερο δυνατό ποσό για ένα μεμονωμένο ζήτημα είναι τώρα 250.000 $, για αποδεδειγμένο RCE σε non-sandboxed process. Εάν το RCE σε non-sandboxed process μπορεί να επιτευχθεί χωρίς renderer compromise, μπορεί να προσφέρει στον ερευνητή ακόμα μεγαλύτερη αμοιβή“.
Η Google έχει, επίσης, υπερδιπλασιάσει τα ποσά για παρακάμψεις MiraclePtr (250.128 $ από 100.115 $) όταν κυκλοφόρησε το MiraclePtr Bypass Reward.
Η Google δίνει τώρα μεγάλη έμφαση στον αντίκτυπο και την πιθανή βλάβη που μπορεί να προκαλέσουν οι ευπάθειες που αναφέρονται στο Vulnerability Reward Program:
Χαμηλότερος αντίκτυπος: χαμηλή δυνατότητα εκμετάλλευσης, ύπαρξη πολλών προϋποθέσεων για εκμετάλλευση, χαμηλός έλεγχος εισβολέων, χαμηλός κίνδυνος/δυνατότητα βλάβης χρήστη
Μέτριος αντίκτυπος: μέτριες προϋποθέσεις για εκμετάλλευση, δυνατότητα μερικού ελέγχου συστημάτων από επιτιθέμενο
Υψηλός αντίκτυπος: εύκολη εκμετάλλευση, αποδεδειγμένη και σημαντική βλάβη χρήστη, απομακρυσμένη εκμετάλλευση, λίγες προϋποθέσεις για εκμετάλλευση
Δείτε επίσης: Google: Τερματίζει το Google Play Security Reward Program (GPSRP)
“Όλες οι αναφορές εξακολουθούν να είναι κατάλληλες για ανταμοιβές μπόνους όταν περιλαμβάνουν τα ισχύοντα χαρακτηριστικά. Θα συνεχίσουμε να εξερευνούμε περισσότερες πειραματικές ευκαιρίες ανταμοιβής, παρόμοιες με το προηγούμενο Full Chain Exploit Reward, και θα εξελίξουμε το πρόγραμμά μας για την καλύτερη εξυπηρέτηση της κοινότητας ασφαλείας“, πρόσθεσε η Ressler.
Η αύξηση των αμοιβών αποτελεί μέρος της συνεχιζόμενης προσπάθειας της Google να ενισχύσει την ασφάλεια των προϊόντων και των υπηρεσιών της. Το πρόγραμμα στοχεύει να ενθαρρύνει τους ethical hackers και τους ερευνητές να εντοπίσουν τα τρωτά σημεία προτού μπορέσουν να τα εκμεταλλευτούν κακόβουλοι χρήστες, δημιουργώντας έτσι ένα ασφαλέστερο διαδικτυακό περιβάλλον για τους χρήστες.
Αυξάνοντας τις αμοιβές για την αναφορά σφαλμάτων, η Google όχι μόνο ανταμείβει τη σημαντική τεχνογνωσία που απαιτείται για την πλοήγηση στα πολύπλοκα συστήματά της, αλλά ενισχύει επίσης τη δέσμευσή της για την πρόληψη πιθανών απειλών σε ένα διαρκώς εξελισσόμενο ψηφιακό τοπίο.
Δείτε επίσης: Netflix: Πλήρωσε πάνω από 1 εκατομμύριο $ μέσω του bug bounty
Η αύξηση των πληρωμών αποτελεί, επίσης, αντανάκλαση της αυξανόμενης σημασίας της κυβερνοασφάλειας στον σημερινό κόσμο. Καθώς όλο και περισσότερες προσωπικές και ευαίσθητες πληροφορίες αποθηκεύονται στο διαδίκτυο, είναι σημαντικό για εταιρείες όπως η Google να δώσουν προτεραιότητα στα μέτρα ασφαλείας.
Από τότε που κυκλοφόρησε το Vulnerability Reward Program (VRP) το 2010, η Google έχει δώσει πάνω από 50 εκατομμύρια δολάρια σε ερευνητές ασφαλείας που έχουν αναφέρει περισσότερες από 15.000 ευπάθειες.
Πηγή: www.bleepingcomputer.com