Google, şirketin Android uygulamalarında bulunan kusurlar için güvenlik araştırmacılarına ödeme yapacak yeni bir hata ödül programı olan Mobile Güvenlik Ödülleri Programını (Mobile VRP) başlattı.
Google VRP, "Yeni mobil VRP'yi duyurmaktan heyecan duyuyoruz! Mobil uygulamalarımızda güvenlik açıklarını bulmamıza ve düzeltmemize yardımcı olacak bughunterlar arıyoruz."
Şirketin dediği gibi, mobil VRP'nin arkasındaki temel amaç, Google tarafından geliştirilen veya sürdürülen birinci taraf Android uygulamalarında zayıflıkları bulma ve düzeltme sürecini hızlandırmaktır.
Mobil VRP için kapsamdaki uygulamalar arasında Google LLC tarafından geliştirilen, Google'da geliştirilen, Google'da araştırma, Red Hot Labs, Google Samples, Fitbit LLC, Nest Labs Inc, Waymo LLC ve Waze bulunmaktadır.
Kapsam içi uygulamaların listesi, Google'ın aşağıdaki uygulamaları (ve paket adlarını) içeren "Tier 1" Android uygulamaları olarak tanımladığı şeyi de içerir:
Nitelikli güvenlik açıkları, keyfi kod yürütülmesine (ACE) ve hassas verilerin hırsızlığına izin verenleri ve benzer bir etkiye yol açmak için diğer kusurlarla zincirlenebilecek zayıflıkları içerir.
Bunlar arasında yetim izinler, yol geçiş veya fermuarlı yol geçiş kusurları, keyfi dosya yazımına yol açar, teminatsız uygulama bileşenlerini başlatmak için kullanılabilecek niyet yönlendirmeleri ve bekleyen niyetlerin güvensiz kullanımının neden olduğu güvenlik hatalarını içerir.
Google, kullanıcı etkileşimi olmadan uzaktan kod yürütme için en fazla 30.000 $ ve hassas verilerin çalınmasına izin veren hatalar için 7.500 $ 'a kadar ödüllendireceğini söylüyor.
Google, "Mobil VRP, Google'ın birinci taraf Android uygulamalarımızın güvenlik duruşunu iyileştirmesine yardımcı olan araştırmacıların katkılarını ve sıkı çalışmalarını tanıyor." Dedi.
"Programın amacı, birinci taraf Android uygulamalarındaki güvenlik açıklarını azaltmak ve böylece kullanıcıları ve verilerini güvende tutmaktır."
Ağustos 2022'de şirket, Güvenlik Araştırmacılarına Bazel, Angular, Golang, Protokol Tamponları ve Fuşya gibi en hassas projeleri de dahil olmak üzere Google Open-Source Software'in (Google OSS) en son yayınlanan sürümlerinde hatalar bulma konusunda ödeme yapacağını açıkladı.
On yıl önce ilk VRP'sini başlattığından beri, 2010 yılında Google, 15.000'den fazla güvenlik açığı bildirdiği için dünya çapında binlerce güvenlik araştırmacısına 50 milyon dolardan fazla ödüllendirdi.
2022'de, Android VRP tarihinde en yüksek olan GZOBQQ tarafından bildirilen beş ayrı güvenlik hatası olan bir Android istismar zinciri için rekor kıran 605.000 dolarlık bir ödeme de dahil olmak üzere 12 milyon dolar verdi.
Bir yıl önce, aynı araştırmacı Android'de başka bir kritik istismar zinciri gönderdi ve 157.000 dolar daha kazandı - o zamanlar Android VRP tarihinde önceki hata ödül kaydı.
Google, kötü amaçlı yazılımları engellemek için 173K geliştirici hesaplarını yasakladı, sahtekarlık halkaları
Google, hesabınızı silmenize izin vermek için Android uygulamalarına ihtiyaç duyacaktır
50.000 kurulum ile uygulamada gizli yeni Ahrat Android kötü amaçlı yazılım
Cisa, Saldırılarda Sömürülen Samsung ASLR Bypass kusurunu uyarıyor
Google, hesapları 2 yıldan fazla aktif olarak silecek
Kaynak: Bleeping Computer