谷歌宣布了一项新的漏洞赏金计划,名为Mobile VRP(漏洞奖励计划),该计划涵盖其移动应用程序,用于报告谷歌开发或维护的第一方安卓应用程序的漏洞。
只有以下列表中的开发者发布的应用或一级列表中的应用(谷歌的Play服务、AGSA、Chrome、云、Gmail和Chrome远程桌面)才在新赏金计划的范围内。
谷歌将奖励任意代码执行漏洞和可能导致敏感数据被盗的漏洞。同时也在发掘以下漏洞:
导致任意文件写入的路径遍历/压缩路径遍历漏洞
导致启动非出口应用组件的意图重定向
因不安全使用待定意图而导致的漏洞
孤立权限
下面的表格报告了该公司对不同类别的漏洞和根据这些漏洞与用户交互程度所提供的奖励:
白帽可以赚取高达30000美元,因为一级应用程序的漏洞可以在没有用户交互的情况下被远程利用,以实现任意代码执行。
谷歌在公告中指出,当调查一个漏洞时,请只针对你自己的账户,千万不要试图访问其他人的数据,也不要参与任何会对谷歌造成破坏或损害的活动。
有兴趣参加移动VRP的挖洞人员应通过谷歌的报告页面提交发现。
https://securityaffairs.com/146578/security/google-mobile-vrp.html