Зміни у винагородах за виявлення вразливостей
Google переглядає свої програми винагород за знайдені вразливості в Android та Chrome, прагнучи підвищити привабливість для дослідників безпеки та зосередитися на найсерйозніших загрозах. Відтепер компанія готова виплачувати до 1,5 мільйона доларів за виявлення складних експлойтів.
Android: Фокус на критичних вразливостях
У рамках оновленої програми винагород для Android, Google пропонуватиме до 1,5 мільйона доларів за знайдений “zero-click” експлойт, що включає повний ланцюжок для зламу захисту чіпа Pixel Titan M2 з можливістю збереження доступу (персистентність). За аналогічну вразливість, але без можливості збереження доступу, винагорода становитиме до 750 000 доларів. Google пояснює ці зміни необхідністю актуалізації програми відповідно до поточних ризиків для користувачів. Компанія також наголошує на пріоритетності виявлення вразливостей, які складно знайти за допомогою автоматизованих інструментів на базі штучного інтелекту, щоб винагороджувати дослідників за їхні унікальні навички. Ці кроки зумовлені трансформацією ринку виявлення вразливостей, де штучний інтелект та автоматизація значно прискорили процес. Сучасні інструменти спрощують аналіз тестових випадків, визначення першопричин, пошук рішень та виявлення відомих проблем. Програма Internet Bug Bounty (IBB) вже призупинила прийом нових заявок через значну кількість звітів, згенерованих ШІ, що свідчить про загальну тенденцію в галузі. Програма для Android також буде більше зосереджуватися на вразливостях ядра Linux у компонентах, що підтримуються Google, якщо дослідники не зможуть довести, що ці вразливості можна експлуатувати безпосередньо на пристроях Android.
Оновлення програми Chrome
Програма винагород для браузера Chrome також зазнала змін. Тепер Google пропонує до 250 000 доларів за повноланцюжкові експлойти, що дозволяють отримати віддалене виконання коду (RCE) в браузерному процесі на найновіших операційних системах та апаратному забезпеченні. Додатково, передбачено бонус у розмірі 128 доларів за звіт, який демонструє успішну експлуатацію виділення пам’яті, захищеної механізмом Miracle Pointer. Водночас, Google скасовує додаткові винагороди за RCE в рендерері та вразливості довільного читання/запису. Ці бонуси раніше були запроваджені для стимулювання подання звітів та підтвердження можливості експлуатації.
Фінансові показники програм винагород
Минулого року програма винагород Google за виявлення вразливостей встановила новий рекорд. Компанія виплатила 17,1 мільйона доларів 747 дослідникам у 2025 році, що на 40% більше, ніж у попередньому році. Загальна сума виплат з моменту запуску програми у 2010 році перевищила 81 мільйон доларів. Очікується, що загальна сума виплат за 2026 рік буде ще вищою, незважаючи на коригування розмірів окремих винагород.
Вердикт ІТ-Блогу: Ці оновлення є важливими для дослідників безпеки, які займаються пошуком складних вразливостей у системах Google, особливо тих, що вимагають глибоких знань та не піддаються автоматизації.
Дізнатися більше на: itc.ua