Si dice che non esista un dispositivo mobile o un elemento tecnologico esente da errori. E se potessi trarne beneficio? È ciò che Google propone con il suo programma di premi per chi trova bug o falle di sicurezza in Android e altri prodotti. Google potrebbe pagare fino a 30.000 dollari per ogni errore trovato. In alcune categorie e in casi molto specifici, le cifre possono salire notevolmente quando viene dimostrata una catena completa di sfruttamento.
Paga gli utenti per individuare i bug
Gli utenti stanno diventando sempre più esperti e molti di loro hanno ormai una conoscenza approfondita della programmazione o della piattaforma stessa. Ciò che un piccolo team non riesce a rilevare, milioni di occhi possono.Questi bug vengono individuati e risolti più rapidamente se si riesce a coinvolgere la comunità . Questo è l'approccio di Google e di molte altre aziende che offrono ricompense per la segnalazione dei bug. In questo caso, Google paga per gli errori di sicurezza di Android. e altri prodotti, con quantitativi che partono da quantità modeste e possono raggiungere cifre molto significative a seconda dell'impatto e dello sfruttamento.
Oltre ad Android, Google gestisce diversi programmi di ricompensa per le vulnerabilità (VRP): Android VRP, Chrome VRP, premi open source, iniziative specifiche per chipset (ACSRP, solo su invito) e un VRP incentrato sull'intelligenza artificiale. Ognuno definisce il proprio ambito, criteri di severità e tabelle di pagamento. valutando sempre l'impatto, la facilità d'uso e la qualità del report.
Nelle vulnerabilità comuni, come quelle che consentono eseguire codice arbitrario, le ricompense possono variare da piccole somme quando l'aggressore richiede condizioni limitanti (ad esempio, la stessa rete) a somme significativamente maggiori se il difetto è sfruttabile. da remoto e senza interazione dell'utente. Per problemi che causano furto di dati sensibili, i pagamenti variano in genere da bassi a medi a seconda del rischio. Anche ricompense più piccole vengono prese in considerazione, se documentate. problemi già noti ma con informazioni utili aggiuntive.
È molto difficile?
E ti chiederai ... Posso ottenere queste ricompense o devo avere una conoscenza approfondita di Android? Google offre diversi livelli. Individuare e segnalare un bug minore è gratuito, ma se è di entità moderata, riceverai subito una ricompensa; se è grave, l'importo aumenta; e se è critico, aumenta ulteriormente. Da lì, la cifra si moltiplica se si include una prova di concetto riproducibile, una soluzione proposta o una patch funzionale.
Su Android, un rapporto critico con una patch è quello che ottiene il punteggio più alto nei passaggi usuali. Inoltre, se dimostri un vero exploit che concatena diverse vulnerabilità (ad esempio, aumentando i privilegi dall'app al kernel e mantenendo la persistenza), i vantaggi cambiano drasticamente: si prevede fino a un milione di dollari per stringhe molto specifiche su dispositivi di riferimento, mentre altri exploit documentati possono essere ricompensati con importi come Dollari 30.000 in scenari specifici. Per qualificarsi per questo, oggi vengono utilizzati dispositivi Pixel e build di riferimento Android/AOSP, poiché i vecchi Nexus non sono più oggetto di test.
Se il tuo interesse è nell'intelligenza artificiale, Google mantiene un Programma di ricompensa per le vulnerabilità dell'IA che dà priorità ad attacchi come Iniezioni rapide, perdite di dati, manipolazione del comportamento del modello o estrazione di architettura/pesoSu questo fronte vengono pagate ricompense che possono raggiungere Dollari 20.000 per risultati seri, mentre argomenti di contenuto (allucinazioni, pregiudizi) vengono omessi e dovrebbero essere segnalati tramite altri canali.
Vale la pena ricordare che Google pubblica periodicamente statistiche e riepiloghi con dati globali: Ogni anno vengono assegnati diversi milioni di premi, con pagamenti importanti per stringhe complesse su Android e centinaia di bug segnalati in Chrome e ChromeOS. Ci sono anche borse di ricerca per coloro che analizzano proattivamente i prodotti senza trovare alcun difetto, con importi che vanno da centinaia a diverse migliaia di dollari.
Come segnalare e tenere traccia dei bug
Per Android Open Source Project (AOSP) e le funzionalità della piattaforma, Google utilizza Issue TrackerPrima di aprire un rapporto, controlla se il tuo problema esiste già , controlla i post aperti e chiusi e usa l'ordinamento a stelle per vedere quelli più pertinenti. Se riscontri lo stesso errore, contrassegnalo con una stella in modo che acquisisca la priorità .
Se non esiste, creane uno nuovo scegliendo l'opzione componente corretto (Richieste di sicurezza, piattaforma, strumenti per sviluppatori, documentazione o interoperabilità LMD). Nel modello, includi passaggi per riprodurre, registrazioni, impatto previsto/effettivo e, se applicabile, un verifica teorica o anche un set di patch. Assicurati che il componente sia nel Tracker pubblico Android quando si segnala all'AOSP.
Il normale ciclo di vita inizia in uno stato NewSe mancano informazioni, verranno trasferite a un tipo di hotlist NeedsInfoQuando qualcuno lo presume, vedrai Assegnato (e può succedere a Accettato). Se è corretto, cambierà in Fisso o Corretto (verificato)Può anche essere contrassegnato come Non risolverà (comportamento previsto) se si tratta del comportamento previsto o Non risolverà (Impraticabile) se non è ragionevole affrontarlo in AOSP.
Per proseguire, controlla priorità , stato e commentiRispondere alle domande del manutentore se richiede informazioni aggiuntive. Errori nello stato Corretto (verificato) saranno inclusi in un comunicato ufficiale, anche se Google non garantisce date specifiche per la loro pubblicazione.
Programmi, aree e limiti delle ricompense
All'interno del VRP complessivo, Android è uno dei focus principali, ma ci sono anche pagamenti significativi in Chrome e ChromeOS, così come nei progetti di open source gestito da Google. Per i chipset c'è il Programma di premi per la sicurezza dei chipset Android (ACSRP), un programma privato, accessibile solo su invito, in collaborazione con i produttori, che premia i fallimenti di basso livello. Programma di ricompensa per la sicurezza di Google Play (focalizzato sulle app di Google Play) è stato interrotto e le vulnerabilità delle app vengono canalizzate oggi direttamente con i suoi sviluppatori o tramite il VRP quando si tratta di app/servizi Google.
Oltre all'AI VRP, Google ha promosso un Quadro di riferimento per l'intelligenza artificiale sicura (SAIF) per proteggere la catena di fornitura dall'apprendimento automatico e ha annunciato investimenti mirati, tra cui un Fondo per la sicurezza dell'intelligenza artificiale in collaborazione con altri leader, per accelerare la ricerca e la mitigazione dei rischi emergenti.
Se vuoi prepararti, visita il Comunità di cacciatori di insetti, con sfide, classifiche nazionali e contenuti formativi e consulenza Università di Bughunter per suggerimenti e trucchi. Migliore è il tuo rapporto (chiarezza, riproducibilità , impatto), tanto più può essere valutato e tanto maggiore è la probabilità di ottenere una ricompensa.
Ulteriori Informazioni - Google.
La morale è chiara: Il reporting responsabile pagaGoogle premia tutto, dalle scoperte moderate alle catene di exploit ad alto impatto, e offre canali trasparenti per AOSP, Android, Chrome, open source e ora AI. Con metodologia, documentazione solida ed etica di divulgazione responsabile, La tua conoscenza può tradursi in sicurezza per milioni di utenti e, tra l'altro, una ricompensa non trascurabile.