Foto: Android Authority
Google je ažurirao svoje programe nagrađivanja za sigurnosne propuste u Androidu i Chromeu te, prema objavi, premješta naglasak s jednostavnijih prijava na složenije bugove koji mogu ozbiljno utjecati na korisnike. Promjene su već na snazi. Najzvučniji dio odnosi se na Android: Google sada nudi do 1,5 milijuna dolara za određene napredne, trajne napade na Android, uključujući zero-click napade na Pixel uređaje s Titan M sigurnosnim čipom. Prethodni maksimum bio je 1 milijun dolara.
Prema navodima u ažuriranju programa Android i Chrome Vulnerability Reward Programs, isplata od 750.000 dolara predviđena je za nepersistentnu verziju takvog napada. Time je jasno odvojena nagrada za trajne i netrajne napade, ali Google u objavi ne mijenja činjenicu da je riječ o programu za sigurnosne istraživače, a ne o potvrđenom propustu na konkretnom uređaju. U istoj objavi navodi se i da tvrtka i dalje traži prijave koje pokazuju stvaran učinak i mogu se reproducirati.
Dok Android dobiva veće nagrade za složenije napade, Chrome ide u suprotnom smjeru. Google navodi da smanjuje neke isplate i ukida pojedine bonus-kategorije jer su izvještaji o ranjivostima koje generira umjetna inteligencija sve češći. Tvrtka i dalje potiče istraživače da šalju prijave, ali sada, prema opisu izmjena, daje prednost sažetim i reproducibilnim nalazima s jasnim dokazom učinka, a ne samom broju podnesaka.
Posebni bonusi za renderer RCE ili arbitrary read/write uklanjaju se, a Google kaže da su takvi nalazi uz pomoć umjetne inteligencije postali „gotovo rutinski”. Umjesto toga, tim objavljuje posebne Chrome buildove kako bi istraživači mogli demonstrirati arbitrary read/write u privilegiranim procesima. Google sada navodi i da plaća do 250.000 dolara za full chain exploitove browser procesa na najnovijim operacijskim sustavima i hardveru, dok je poznati bonus od 250.128 dolara za MiraclePtr i dalje dostupan.
U objavi se dodaje da se druge isplate smanjuju, iako Google kaže da će ukupni nagradni fond za 2026. biti veći. Tvrtka istodobno podsjeća na širenje svojih sigurnosnih programa vezanih uz umjetnu inteligenciju: u 2025. pokrenula je zaseban AI bug bounty za proizvode poput Geminija, Google Searcha i AI alata za Workspace, s nagradama do 30.000 dolara za ozbiljne AI ranjivosti poput prompt injection napada, neovlaštenih radnji ili propusta koji omogućuju krađu podataka. Prema Googleu, nova struktura programa odražava način na koji se sigurnosno istraživanje mijenja, a istraživačima se i dalje preporučuje da uz prijavu prilože i popravak, a ne samo dokaz da propust postoji.
Vezane vijesti
