Google збільшує винагороди за вразливості в Android та Chrome до $1,5 млн
Google збільшує винагороди за виявлення критичних вразливостей в Android та Chrome
Google суттєво переглянула програми винагород за виявлення вразливостей у своїх продуктах. Тепер компанія готова виплачувати до $1,5 млн за найсерйозніші експлойти для Android, тоді як виявлення менш критичних уразливостей, які можна знайти за допомогою штучного інтелекту, оцінюватиметься нижче.
Нові умови для Android
Інженери Google оголосили про оновлення програми винагород за вразливості в Android та Chrome. Найвища винагорода — $1,5 млн — передбачена за zero-click-експлойт з повним ланцюжком для злому модуля безпеки Pixel Titan M2 зі збереженням персистентності. Якщо експлойт не забезпечує персистентності, винагорода становитиме до $750 000.
У компанії пояснюють, що зміни спрямовані на зосередження уваги на категоріях вразливостей, які становлять найбільший ризик для користувачів. Особливий пріоритет надається тим уразливостям, які складно виявити за допомогою автоматизованих інструментів на основі ШІ.
Такий підхід зумовлений стрімким розвитком технологій виявлення вразливостей. За останні роки ШІ та автоматизація значно прискорили цей процес: сучасні інструменти дозволяють швидко аналізувати тестові випадки, визначати першопричини проблем, пропонувати виправлення та знаходити відомі типи вразливостей.
Подібні виклики стоять перед усією галуззю. Наприклад, програма Internet Bug Bounty (IBB) нещодавно призупинила прийом нових заявок через велику кількість звітів, згенерованих за допомогою ШІ.
Оновлена програма для Android також більше зосереджуватиметься на вразливостях ядра Linux у компонентах, які підтримує Google. Винятком будуть випадки, коли дослідники зможуть довести, що знайдені уразливості можна експлуатувати на пристроях під управлінням Android.
Зміни у програмі для Chrome
У програмі винагород за вразливості Chrome також відбулися зміни. Тепер Google пропонує до $250 000 за повноланцюжкові експлойти браузерного процесу на найновіших операційних системах та апаратному забезпеченні. Додатковий бонус у розмірі $250 128 передбачений за звіти, у яких успішно експлуатується виділення пам’яті, захищене механізмом Miracle Ptr.
Водночас компанія скасувала додаткові винагороди за renderer RCE та вразливості довільного читання/запису, які раніше запроваджувалися для заохочення дослідників.
Рекордні виплати та нові вимоги
У 2025 році Google виплатила рекордні $17,1 млн 747 дослідникам — на 40% більше, ніж у попередньому році. Загалом з моменту запуску програми у 2010 році компанія виплатила понад $81 млн. Очікується, що у 2026 році загальна сума виплат зросте, попри зниження розмірів окремих винагород.
Нові правила також передбачають, що дослідники повинні включати до звітів запропоновані патчі для усунення виявлених проблем. Це свідчить про перехід Google від моделі «знайди і повідом» до більш практичної співпраці, де дослідник не лише виявляє вразливість, а й пропонує шляхи її виправлення.
Крім того, компанія оновлює тестову інфраструктуру, зокрема готує спеціальні збірки Chrome для дослідників, які полегшать демонстрацію проблем з доступом до пам’яті та витоками інформації.
