Google looft sinds 2010 beloningen uit aan security-onderzoekers die belangrijke beveiligingsproblemen in zijn Chrome-browser rapporteren. De bedragen die het bedrijf daarvoor uitbetaald, werden pas opgekrikt.
Zo wordt de maximale beloning voor een baseline rapportering verdrievoudigd tot potentieel 15.000 dollar, aldus een blogpost. Voor een high-quality rapport met voorbeeld van een functionele exploit betaalt Google tot 30.000 dollar. Ook de beloning voor fuzz testing, waarbij beveiligingsgaten worden gevonden door willekeurige data in een systeem te sturen, werd verdubbeld tot 1.000 dollar.
De bugs die Google als het meest kritiek/waardevol beschouwd, hebben betrekking tot sandbox escaping of geheugencorruptie in een niet-sandboxproces. Een volledig overzicht van bugrapporten die in aanmerking komen voor een beloning, en de prijs die daar tegenover staat, is hier terug te vinden.
Chrome OS
Specifiek op Chrome OS wordt de beloning voor exploits die een Chromebook of Chromebox kunnen compromitteren verhoogd tot 150.000 dollar. Bovendien krijgen securitybugs in de firmware en bugs om het ontgrendelscherm te omzeilen voortaan hun eigen beloningscategorieën.
Het uitloven van dergelijke bug-bounties is een populaire manier geworden bij technologiebedrijven om de veiligheid van hun producten te verbeteren. Sinds Google in 2010 met zijn Chrome Vulnerability Rewards Program van start ging, werden al meer dan 8.500 bugs gerapporteerd en heeft het bedrijf meer dan 5 miljoen dollar uitbetaald.
Play Store
Tot slot werden ook de beloningen voor het ontdekken van bugs in app-store Google Play verhoogd. Het bedrag voor remote code execution (RCE)-bugs is toegenomen van 5.000 tot 20.000 dollar, voor diefstal van onbeschermde privégegevens van 1.000 tot 3.000 euro, en toegang tot beschermde app-componenten van 1.000 tot 3.000 dollar.
“Het Google Play Security Reward Program looft ook bonusbeloningen uit voor het op verantwoorde wijze openbaar maken van kwetsbaarheden aan deelnemende app-ontwikkelaars”, aldus Google. Het Play-programma loopt via HackerOne.