谷歌宣布了一項新的漏洞賞金計劃,名為Mobile VRP(漏洞獎勵計劃),該計劃涵蓋其移動應用程序,用于報告谷歌開發或維護的第一方安卓應用程序的漏洞。
只有以下列表中的開發者發布的應用或一級列表中的應用(谷歌的Play服務、AGSA、Chrome、云、Gmail和Chrome遠程桌面)才在新賞金計劃的范圍內。
谷歌將獎勵任意代碼執行漏洞和可能導致敏感數據被盜的漏洞。同時也在發掘以下漏洞:
- 導致任意文件寫入的路徑遍歷/壓縮路徑遍歷漏洞
- 導致啟動非出口應用組件的意圖重定向
- 因不安全使用待定意圖而導致的漏洞
- 孤立權限
下面的表格報告了該公司對不同類別的漏洞和根據這些漏洞與用戶交互程度所提供的獎勵:
白帽可以賺取高達30000美元,因為一級應用程序的漏洞可以在沒有用戶交互的情況下被遠程利用,以實現任意代碼執行。
谷歌在公告中指出,當調查一個漏洞時,請只針對你自己的賬戶,千萬不要試圖訪問其他人的數據,也不要參與任何會對谷歌造成破壞或損害的活動。
有興趣參加移動VRP的挖洞人員應通過谷歌的報告頁面提交發現。
關鍵基礎設施安全應急響應中心
看雪學苑
GoUpSec
D1Net
安全圈
D1Net
GoUpSec
安全牛
安全客
安全客
GoUpSec
商密君
