구글이 안드로이드 애플리케이션에서 발견한 취약점에 대해 보상을 지급하는 새로운 버그 바운티 프로그램, 모바일 VRP(Vulnerability Rewards Program)를 시작했다고 밝혔다. 

구글은 VRP 트위터를 통해 “새로운 모바일 VRP를 발표하게 되어 기쁘다. 모바일 애플리케이션 취약점을 찾고 패치하는데 도움을 줄 버그 헌터를 찾는다”고 공지했다. 주요 목표는 구글이 개발하거나 유지 관리하는 자사 안드로이드 앱의 취약점을 찾고 수정하는 것이다.  

모바일 VRP 범위에 있는 애플리케이션에는 Google LLC에서 개발한 애플리케이션, Google에서 개발한 애플리케이션, Google Research, Red Hot Labs, Google Samples, Fitbit LLC, Nest Labs Inc, Waymo LLC, Waze 등이 포함된다. 

범위 내 앱 목록에는 구글이 ‘계층 1’이라고 설명하는 안드로이드 애플리케이션이 포함된다.

△Google Play Services (com.google.android.gms)

△AGSA( com.google.android.googlequicksearchbox)

△Google Chrome (com.android.chrome)

△Google Cloud (com.google.android.apps.cloudconsole)

△Gmail (com.google.android.gm)

△Chrome Remote Desktop (com.google.chromeremotedesktop)

적격 취약점에는 임의 코드 실행 및 민감 데이터 도난을 허용하는 취약점과 유사한 영향을 미치기 위해 다른 결함과 연결될 수 있는 취약점이 있다.

구글은 사용자 상호작용이 없는 원격 코드 실행에 대해 최대 3만 달러, 중요한 데이터를 원격 도용할 수 있는 버그에 대해 최대 7,500 달러를 보상할 것이라고 밝혔다.

구글은 또한 “이 프로그램의 목표는 타사 안드로이드 애플리케이션의 취약성을 완화하여 사용자와 데이터를 안전하게 유지하는 것”이라고 설명했다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★