Siden 2010 har Google betaler folk for at finde sikkerhedsfejl i koden for den største digitale platform.
Siden dette system finder sted, har virksomheden betalt over 5 millioner dollars til dem, der tog sig tid til dette formål.
se mere
Toyota annoncerer ny Corolla i Brasilien med UTROLIG pris; se
FANTASTISK: Forskere finder 'forhistorisk' pingvin i live i New…
For nylig annoncerede søgegiganten stigningen i belønninger med en betaling maksimalt $150.000 og andre udbetalinger, der fordobles eller tredobles i størrelse.
Indtil videre er der indberettet 8.500 indberetninger og betalinger, kaldet bug bounties. Betalinger for disse eksponeringer summerer til mere end $5 millioner.
Chrome Vulnerability Bounty Program tilbyder dusørfordobling for "kvalitetsrapporter" (fra $15k til $30k). Beløbet tredobles, når du har en basisrapport.
En kvalitetsrapport bør have en minimeret testcase, samt en analyse, der spiller rollen som bestemme årsagen til fejlen, en foreslået rettelsespatch og en demo for at påpege en potentiel fejl at ske.
I tilfælde af basislinjerapportering skal der være en minimeret test, så problemet kan udnyttes.
Laurie Mercer, en sikkerhedsingeniør hos HackerOne, rapporterer om Googles betalinger og siger, at de er meget godt indlagt.
"Belønningen til deltagere, der kan kompromittere en Chromebook eller Chromebox, er en af de højeste belønninger på markedet i dag," sagde han.
Han tilføjede, at indsendelse af en kvalificeret fejl til denne dusør "ville garantere en plads i den prestigefyldte Google Hall of Fame".
Men når man sammenligner med nuldium, et digitalt sikkerhedsfirma, kendt som den bedste betaler til forskere, der opdager fejl før virksomhederne selv, lader Google noget tilbage at ønske. Virksomheden betaler typisk en dusør på $500.000, så længe den tilbyder fjernudførelse af kode og lokal privilegieeskalering mod for eksempel Chrome.
På den anden side gennemføres auktioner på ulovlige markeder på grund af fejl i virksomhedens system, så der tilbydes høje priser, nogle gange endda højere end de belønninger, der er rapporteret her. Denne type aktivitet indebærer dog en risiko, da der ikke er garantier for privatliv og betaling. For ikke at nævne, at disse forskere ikke har mulighed for at præsentere deres arbejde på konferencer.
Applikationssikkerhedsforsker Sean Wright har nogle forbehold om sagen:
"Hvis du vil have pengene, sælger du til Zerodium. Hvis du vil være etisk, giver du Google besked. Medmindre Google matcher de beløb, som Zerodium har betalt, er det usandsynligt, at dette ændrer sig."
Google giver også belønning, når der findes "bugs" i "fuzzers". Dette er en software, der bruges til at teste parametre for forskellige applikationer. Dens funktion er baseret på processen med at indsætte ugyldige eller tilfældige data, for at målsoftwaren kan kollapse eller lække hukommelse, så den kan udnyttes af en angriber. Fuzzers er en almindelig begivenhed på Google, og dem, der finder fejl, bliver belønnet.
Gennem Google er det muligt at oprette en udnyttelseskæde og kompromittere en Chromebook i gæstetilstand. Øjeblikkelige belønninger er tilgængelige over hele linjen.
Google Play Security Bounty-programmet har øget udbetalingsbeløbet for forskere gennem et partnerskab med HackerOne, en hackersikkerhedsplatform. Dette er et program, der også belønner dem, der finder sårbarheder, kun denne gang i populære apps. Værdien kan nå op til 20.000 USD.
Se også:
