Google, şirketin ürün ve hizmetlerinde güvenlik kusurlarını bulmak ve sorumlu bir şekilde bildirmek için 2023'te 68 ülkeden 632 araştırmacıya 10 milyon dolar verdi.
Bu, 2022'de araştırmacılara ödenen 12 milyon dolarlık Google'ın güvenlik açığı ödül programından daha düşük olsa da, miktar hala önemlidir ve Google'ın güvenlik çabalarına yüksek düzeyde topluluk katılımını sergilemektedir.
2023'teki bir güvenlik açığı raporu için en yüksek ödülü 113.337 $ iken, programın 2010'daki lansmanından bu yana toplam taksit 59 milyon dolara ulaştı.
Dünyanın en popüler ve yaygın olarak kullanılan mobil işletim sistemi olan Android için, program 3.4 milyon doların üzerinde ödül verdi.
Google ayrıca, Android ile ilgili kritik güvenlik açıkları için maksimum ödül miktarını 15.000 dolara çıkararak topluluk raporlarını artırdı.
Escal8 ve Hardwea.io gibi güvenlik konferansları sırasında Google, Wear OS ve Android Automotive OS'de 20 kritik keşif için 70.000 dolar ve Nest, Fitbit ve Giyilebilir cihazlarda konularla ilgili 50 rapor için 116.000 dolar verdi.
Google'ın diğer büyük yazılım projesi Chrome tarayıcısı, toplam 2,1 milyon dolar ödeyen 359 güvenlik hatası raporlarının konusuydu.
1 Haziran 2023'te şirket, 1 Aralık 2023'e kadar Chrome'u hedefleyen Sandbox Escape Zinciri istismarları için üçlü ödül ödemelerinin üç katına çıkacağını duyurdu.
Program ayrıca, Chrome'un JavaScript motoru V8'in eski (M105'ten önce) sürümlerindeki hatalar için ödülleri artırdı ve uzun süredir var olan (M91'den beri) V8 JIT optimizasyon hatası için 30.000 dolarlık bir ödül gibi önemli keşiflere ve ödüllere yol açtı.
Google'ın gönderisinde vurgulanan bir diğer nokta, Chrome M116'da 'MiraclePTR'nin tanıtımıdır ve bu da referans olmayan kullanma (UAF) güvenlik açıklarına karşı koruma sağlar.
Bu kusurların MiraclePTR'nin tanıtılmasından sonra 'yüksek derecede azaltılmış' olduğu için Google, koruma mekanizmasını atlamak için ayrı bir ödül sınıfı tanıttı.
Son olarak, inceleme ayrıca Google Bard gibi güvenlik oluşturan AI ürünlerindeki çabalara da değiniyor ve 35 araştırmacı raporu, 87.000 dolarlık ödeme üreten bir Bugswat canlı hacking etkinliğinde.
Ödüllerin kendilerinin yanı sıra, Bug Bounty programı 2023 yılı boyunca aşağıdaki önemli gelişmelere ve geliştirmelere sahipti:
Google'ın Bug Bounty programına katılmak isteyenler, Bug Hunters topluluğu aracılığıyla bu konuda daha fazla bilgi edinebilirler.
Google, casus yazılım satıcılarının çoğu sıfır günün arkasında olduğunu söylüyor
Yeni Google Chrome Özellikleri Ev Ağlarına Karşı Saldırıları Bloklar
Google, Gmail dahil olmak üzere oturum açma sayfaları için yeni bir modern görünümle
Google Testleri Yandan yüklü Android uygulamalarını riskli izinlerle engelleyen
Google Chrome'un Üçüncü Taraf Kurabiye Fazout Testinde olup olmadığınızı kontrol edin
Kaynak: Bleeping Computer