Google, Güvenlik Araştırmacılarına verdiği ödüllerle ünlüdür. Herhangi bir Google alt alanındaki Basit bir XSS size 1337 ABD Doları kazandıracaktır. Google, Android işletim sistemine ve uygulamalarına odaklanmaktadır.
Android, Google tarafından 2005 yılında 50 milyon dolara satın alındı. Android, Google Play hizmetlerinden ve diğer Android hizmetlerinden Google için büyük gelir elde ediyor.
Tüm dünyada Güvenlik araştırmacıları, Google, Facebook, Apple, Microsoft vb. dahil olmak üzere çeşitli kuruluşlara birkaç kritik hata bildirdi; bu raporlar, bu kuruluşlar için on milyonlarca doların veri ihlali yapmasını engelledi.
Google’ın Android için Bug Bounty Programı, maksimum 15.000 ABD doları ödülle belirlendi. Bu, Android kasasını açmak için birçok güvenlik araştırmacısını çekecek.
Nitelikli Güvenlik Açıkları
Google, güvenlik açıklarının bir listesine odaklanıyor.
- Keyfi Kod Yürütme (ACE)
- Hassas Verilerin Hırsızlığı
- Yol Geçişi
- Amaç yönlendirmeleri
- Sahipsiz izinler
- Bekleyen amaçların güvenli olmayan kullanımı
- Güvenli olmayan bir şekilde saklanan hassas verilere yetkisiz erişim
- Hassas verileri okumak için güvenli olmayan tasarımın manipülasyonu
- Uygulama üzerinde tam kontrol
- .so dosyasının kötü amaçlı olarak üzerine yazılması
- exec’i arayın ve isteğe bağlı java yerel kodunu vb. çalıştırın,
Niteliksiz kabul edilen güvenlik açıkları şunlardır:
- Sabit kodlanmış API anahtarları
- Strandhogg’un çeşitleri
- Köklü bir cihazla saldırılar
- Harici depolamada hassas olmayan ortam erişimi
Uygulama Katmanları
Bug Bounty Programına göre, başvurular farklı seviyelerde farklı ödülleri olan seviyelere ayrılır.
1. kat
| İsim | Paket ismi |
| Google Play Hizmetleri | com.google.android.gms |
| AGSA | com.google.android.googlehızlı arama kutusu |
| Google Chrome | com.android.chrome |
| Google Bulut | com.google.android.apps.cloudconsole |
| Gmail | com.google.android.gm |
| Chrome Uzak Masaüstü | com.google.chromeuzak masaüstü |
Bu Kademe 1 uygulama güvenlik açıkları için ödüller 750 ABD Dolarından başlar ve maksimum 30.000 ABD Dolarına kadar çıkar.
Kademe 2
2. Katman, kullanıcı verilerini işleyen, 1. Katman uygulamalarla bir şekilde etkileşime giren veya Google hizmetlerine bağlanan uygulamalara aittir.
Bu Kademe 2 uygulama güvenlik açıkları için ödüller 625 ABD Dolarından başlar ve maksimum 25.000 ABD Dolarına kadar çıkar.
3. Kademe
Katman 3 uygulamaları, kullanıcı verilerini işlemeyen veya Google’ın hizmetleriyle etkileşime girmeyen uygulamalara aittir.
Bu Kademe 3 uygulama güvenlik açıkları için ödüller 500 ABD Dolarından başlar ve maksimum 20.000 ABD Dolarına kadar çıkar.
Google Bug Bounty Programı hakkında daha fazla bilgi için Google’ın Bug Hunter web sitesini ziyaret edin.
CISO’ların Karşılaştığı Ortak Güvenlik Sorunları? – Ücretsiz CISO Kılavuzunu İndirin
