Google verhoogt betalingen voor het vinden van kwetsbaarheden in Chrome

Google biedt een breed scala aan softwareoplossingen en -services voor zowel gewone gebruikers als bedrijven. Het bedrijf heeft zijn eigen testteams om potentiële bugs en kwetsbaarheden te vinden. Ze hebben echter ook bountyprogramma’s die externe onderzoekers aanmoedigen om deel te nemen aan het proces. Nu herstructureert het bedrijf zijn betalingsschema om kwetsbaarheden in Chrome te vinden.

Onlangs heeft Google het Google Play Security Reward Program (GPSRP) stopgezet. Ze hebben de beslissing genomen op basis van de volwassenheid van het platform en de effectiviteit van de malwaredetectietools van het bedrijf. Er zijn echter andere segmenten die nog steeds de hulp van externe onderzoekers nodig hebben, zoals AI-gebaseerde platforms en Chrome, de protagonist van dit artikel. Voor het laatste heeft Google het Chrome Vulnerability Reward Program (VRP).

Google lanceert nieuw betalingsschema voor onderzoek naar kwetsbaarheden in Chrome

Google introduceerde Chrome’s VPR 14 jaar geleden, waarbij de beloningen van tijd tot tijd werden aangepast aan de behoeften van het platform. Nu voert het bedrijf een nieuwe herstructurering door die erop gericht is om “hoogwaardige rapportage en diepgaander onderzoek naar Chrome-kwetsbaarheden te stimuleren, waarbij ze worden onderzocht op hun volledige impact en exploiteerbaarheidspotentieel.” De wijzigingen omvatten tot twee keer zo hoge beloningen voor sommige kwetsbaarheden, zoals MiraclePtr-gerelateerde kwetsbaarheden.

De nieuwe VPR-structuur van Chrome verdeelt kwetsbaarheden in twee hoofdsegmenten. Er zijn nu ‘geheugencorruptie-kwetsbaarheden’ en ‘andere kwetsbaarheden’. De bevindingen over geheugencorruptie zijn verdeeld in vier categorieën: Hoogwaardig rapport met demonstratie van RCE (betreft uitvoering van externe code), hoogwaardig rapport dat gecontroleerd schrijven demonstreert (betreft geheugenschrijven door de aanvaller), hoogwaardig rapport van geheugencorruptie en baseline (demo van triggerbare geheugencorruptie in Chrome).

In elke categorie zijn er bepaalde parameters die de betaling voor de bevindingen bepalen. Controleer bijvoorbeeld of de processen sandboxed zijn (geïsoleerd of onder gecontroleerde omgevingen), niet sandboxed of zeer geprivilegieerd. De onderstaande tabel illustreert het nieuwe uitbetalingsschema voor kwetsbaarheden voor geheugencorruptie.

Chrome VRP geheugen corruptie kwetsbaarheden betalingen
Nieuw betalingsschema voor kwetsbaarheden in geheugenbeschadiging

Vervolgens, zoals de segmentnaam suggereert, herbergt “andere kwetsbaarheden” de kwetsbaarheden die niet gerelateerd zijn aan geheugencorruptie. Het bedrijf implementeert een “meer deterministische” aanpak. Er zijn nu drie categorieën gebaseerd op de kwaliteit van het rapport en de impact van de kwetsbaarheid op gebruikers. Er zijn “Lagere impact”, “Matige impact” en “Hoge impact”. Het nieuwe betalingsschema voor deze sectie is als volgt:

Chrome VRP andere kwetsbaarheden betalingenChrome VRP andere kwetsbaarheden betalingen
Nieuw betalingsschema voor andere kwetsbaarheden

Betalingen voor kwetsbaarheden van MiraclePtr stijgen aanzienlijk

Ten slotte is er een wijziging doorgevoerd in het beloningssysteem voor kwetsbaarheden op basis van MiraclePtr. In Chrome zijn er Use-After-Free (UAF) kwetsbaarheden die in principe resulteren in overmatig of onjuist gebruik van dynamisch geheugen. U hebt waarschijnlijk gehoord hoe “hebberig” Chrome is met geheugen, en dit is een van de redenen. In de afgelopen jaren heeft Google de gerelateerde problemen grotendeels verzacht. MiraclePtr is een van de maatregelen die de Mountain View-gigant heeft genomen. Het MiraclePtr-project voorkomt in principe dat UAF’s leiden tot beveiligingsrisico’s of geheugenlekken.

Voorheen was de maximale beloning voor het vinden van MiraclePtr-kwetsbaarheden $ 100.115. Nu verhoogt het bedrijf dit bedrag naar $ 250.128. Bovendien labelt het bedrijf kwetsbaarheden in niet-rendererprocessen niet langer als “beveiligingsbugs”. Kortom, naarmate de moeilijkheidsgraad toeneemt, neemt ook de beloning toe.

Thijs Van der Does