Google은 일부 Android 앱의 RCE 버그에 대해 현상금을 최대 450,000달러까지 늘립니다.

Google은 이제 일부 Android 앱의 원격 코드 실행(RCE) 취약점을 보고하는 데 최대 450,000달러의 현상금을 제공합니다.

RCE는 공격자가 추가 악성 코드를 배포하거나 민감한 데이터를 훔치기 위해 위치에 관계없이 대상 컴퓨터에서 원격으로 악성 코드를 실행할 수 있는 사이버 공격입니다.

 

 

이전에는 Tier 1 앱의 RCE 취약점 보고에 대한 보상이 $30,000였지만 이제는 $300,000로 최대 10배 증가했습니다.

이러한 변경 사항은 2023년에 출시된 모바일 VRP(모바일 취약점 보상 프로그램)에 적용되었으며, 이는 Google에서 개발하거나 유지 관리하는 자사 Android 앱에 중점을 둡니다.

 

 

이 프로그램의 목표는 "Google이 자사 Android 애플리케이션의 보안 상태를 개선하는 데 도움을 준 연구자들의 기여와 노고를 인정함으로써 자사 Android 애플리케이션의 취약성을 완화하여 사용자와 사용자의 데이터를 안전하게 유지하는 것"입니다..”

 

Mobile VRP 출시 이후 Google은 40개 이상의 유효한 보안 버그 보고서를 접수했으며 이에 대해 보안 연구원들에게 보상금으로 거의 100,000달러를 지불했습니다.

 

 

Tier 1의 범위 내 앱 목록에는 Google Play 서비스, Android Google 검색 앱(AGSA), Google Cloud 및 Gmail이 포함됩니다.

또한 Google은 이제 보안 연구원이 민감한 데이터의 도난으로 이어질 수 있는 결함에 특별한 주의를 기울이기를 원합니다. 원격 또는 사용자 상호 작용이 필요하지 않은 공격의 경우 연구원은 $75,000를 받게 됩니다.

 

 

또한, 거대 기술 기업은 제안된 패치 또는 취약점의 효과적인 완화는 물론 문제의 다른 유사한 변종을 찾는 데 도움이 되는 근본 원인 분석을 포함하는 뛰어난 품질의 보고서에 대해 총 보상 금액의 1.5배를 지불할 것입니다. 이를 통해 연구원은 Tier 1 Android 앱에서 RCE 익스플로잇으로 최대 450,000달러를 벌 수 있습니다.

 

 

그러나 연구원은 다음을 제공하지 않는 낮은 품질의 버그 보고서에 대해 보상의 절반을 받게 됩니다.

• 문제에 대한 정확하고 자세한 설명
• 개념 증명 익스플로잇
• APK 형식의 예시 애플리케이션
• 취약점을 안정적으로 재현하는 방법에 대한 단계별 설명
• 취약점의 영향에 대한 명확한 분석 및 시연

 

가) 임의의 코드 실행	$300,000	$150,000	$15,000	$9,000
B) 민감한 데이터의 도난*	$75,000	$37,500	$9,000	$6,000
다) 기타 취약점	$24,000	$9,000	$4,500	$2,400

 

 

범주

1) 원격/사용자 상호작용 없음

2) 사용자는 취약한 앱을 악용하는 링크를 따라야 합니다.

3) 사용자는 악성 앱을 설치해야 합니다. 그렇지 않으면 피해자 앱이 기본이 아닌 방식으로 구성되어 있습니다.

4) 공격자는 동일한 네트워크에 있어야 합니다(예: MiTM)

 

 

“우리 규칙에도 몇 가지 추가적이고 작은 변경 사항이 적용되었습니다. 예를 들어 SDK의 2x 수정자는 이제 일반 보상에 포함됩니다. 이는 전반적인 보상을 증가시키고 패널의 결정을 더 쉽게 할 것입니다.” Google 정보 보안 엔지니어 Kristoffer Blasiak이 말했습니다.

 

*참조한 원본 글: https://www.techworm.net/2024/05/google-bounty-rce-bugs-android-apps.html

 

안드로이드의 "서클 투 서치" : 최고의 설명 가이드