谷歌为其Android应用程序推出新的漏洞赏金计划

VSole2023-05-26 09:55:39

谷歌宣布了一项新的漏洞赏金计划,名为Mobile VRP(漏洞奖励计划),该计划涵盖其移动应用程序,用于报告谷歌开发或维护的第一方安卓应用程序的漏洞。

只有以下列表中的开发者发布的应用或一级列表中的应用(谷歌的Play服务、AGSA、Chrome、云、Gmail和Chrome远程桌面)才在新赏金计划的范围内。

谷歌将奖励任意代码执行漏洞和可能导致敏感数据被盗的漏洞。同时也在发掘以下漏洞:

  • 导致任意文件写入的路径遍历/压缩路径遍历漏洞
  • 导致启动非出口应用组件的意图重定向
  • 因不安全使用待定意图而导致的漏洞
  • 孤立权限

下面的表格报告了该公司对不同类别的漏洞和根据这些漏洞与用户交互程度所提供的奖励:

白帽可以赚取高达30000美元,因为一级应用程序的漏洞可以在没有用户交互的情况下被远程利用,以实现任意代码执行。

谷歌在公告中指出,当调查一个漏洞时,请只针对你自己的账户,千万不要试图访问其他人的数据,也不要参与任何会对谷歌造成破坏或损害的活动。

有兴趣参加移动VRP的挖洞人员应通过谷歌的报告页面提交发现。

网络安全谷歌
本作品采用《CC 协议》,转载必须注明作者和本文链接
近日,声明将投入2000万美元,用于在美国各地开设更多的网络安全实践诊所,以帮助填补美国的网络安全劳动力缺口,并在不断变化的威胁面前保持领先地位。Sundar Pichai表示:这笔资金将支持全美20所高等教育机构创建和扩大网络安全诊所。据统计,西班牙裔、黑人和女性工人的比例严重不足。
正在召集一群内部专家组建一个新的网络安全顾问团队。
最新消息,宣布成新的网络安全行动小组,并表示该小组将“肩负协助政府、关键基础设施、企业和小型企业的安全和数字化转型的独特使命”。 “客户需要一种一致的方法来准备和防御网络安全威胁,”云副总裁兼首席信息安全官兼网络安全行动团队创始人菲尔维纳布尔斯(Phil Venables)说。
德哈特定律是一句格言,经常被表述为“当一个措施成为目标时,它就不再是一个好的措施”。
网络安全企业和相关专业服务机构为主体的网络安全产业满足了绝大部分个人和商业机构信息化应用的安全保障需求,也承担了众多政府部门和部分特殊行业的安全保障工作。
推出了一项新的认证计划,旨在据其现有的职业证书计划培训新一代网络安全专业人员。表示,该计划还提供了一个机会,可以接触到更多样化的网络安全职位候选人,包括目前在该领域代表性不足的女性和有色人种。在声明中说:“作为我们更广泛的对发展网络安全劳动力的承诺的一部分,该证书是由网络安全专家设计和教授的。”
7月底,网络安全项目Project Zero发布报告,描述2019年网络攻击中的漏洞利用,得出了关于零日漏洞检测的一些有趣结论。Stone还指出,在微软产品中发现的11个零日漏洞里,只有4个针对Windows 10用户,这也可能是检测偏差的一个指征。相反,这一现象恰恰表明,安全行业应该重点检测针对上述操作系统的攻击。这很令人惊讶,因为供应商应该更便于检测零日漏洞。
VSole
网络安全专家