Google сообщила о запуске программы Mobile VRP по поиску уязвимостей в своих Android-приложениях. За выявленные ошибки исследователям причитается определённое денежное вознаграждение.
До исследования допускаются программы, разработанные и поддерживаемые Google LLC, а также совместно с Research at Google, Red Hot Labs, Google Samples, Fitbit LLC, Nest Labs Inc, Waymo LLC и Waze. Все тестируемые приложения компания разделила на две группы. В первую группу вошли:
- Google Play Services (com.google.android.gms)
- AGSA (com.google.android.googlequicksearchbox)
- Google Chrome (com.android.chrome)
- Google Cloud (com.google.android.apps.cloudconsole)
- Gmail (com.google.android.gm)
- Chrome Remote Desktop (com.google.chromeremotedesktop)
Во второй группе собраны приложения, которые взаимодействуют с пакетами из первой группы, отвечают за обработку данных пользователей и обращаются к сервисам Google. Третья включает в себя приложения, не связанные с сервисами компании.
Сумма вознаграждения будет зависеть от того, к какой группе относится приложение, при этом максимальная назначена за уязвимости в первой группе. Например, за запуск удалённого выполнения кода без взаимодействия с профилем пользователя в приложении из первой группы исследователь получит $30 000. А за удалённую кражу пользовательских данных компания заплатит до $7500.