Google подвела итоги программы баг-баунти

Компания Google подвела итоги программы выплаты вознаграждений за выявление уязвимостей в Chrome, Android, приложениях Google Play, продуктах компании и открытом ПО. Всего в 2025 году разработчики получили $17,1 млн, что на $5,3 млн больше, чем в 2024-м. Компания отметила 747 исследователей против 660 в 2024 году.

Так, $2,9 млн было выплачено за уязвимости в Android. За информацию об уязвимостях в браузере Chrome разработчики получили 100 премий на общую сумму $3,7 млн. Баги в открытых проектах оценили в $327 тысяч. На уязвимости в облачных продуктах пришлось $3,5 млн, а в ИИ-продуктах — $890 тысяч.

Размер самой большой единичной выплаты составил $250 тысяч. Её получил разработчик, который обнаружил логическую ошибку в IPC-механизме Chrome, позволившую создать эксплоит для выполнения кода в обход применяемой в браузере sandbox-изоляции.

Также исследователи Chrome углубились в песочницу v8, обнаружив несколько уязвимостей и предоставив команде v8 новые способы обхода защиты. Для достижения этой цели они создали новые механизмы внутрипроцессной инструментации и внедрения ошибок, работая на переднем крае академических исследований в области фаззеров.

Исследователи также выявили новые логические ошибки в реализациях Gemini на устройствах, включая креативные способы обхода блокировки экрана. Компания отдельно отметила отчет lovepink о критическом прорыве в разработке прошивки, обойдя множество уровней многоуровневой защиты и скомпрометировав ядро ​​с помощью графического процессора.

В рамках мероприятий bugSWAT запустили отдельное направление для Google Cloud, разработанной для решения уникальных проблем безопасности в облачной экосистеме.

В сфере опенсорса исследователи сосредоточились на компрометации безопасности цепочки