Google, güvenlik araştırmacılarına şirketin Android uygulamalarında bulunan kusurlar için ödeme yapacak yeni bir hata ödül programı olan Mobil Güvenlik Açığı Ödül Programını (Mobil VRP) başlattı.
Google VRP, “Yeni Mobil VRP’yi duyurmaktan heyecan duyuyoruz! Mobil uygulamalarımızdaki güvenlik açıklarını bulup düzeltmemize yardımcı olacak hata avcıları arıyoruz.” tweet attı.
Şirketin belirttiği gibi, Mobil VRP’nin arkasındaki ana amaç, Google tarafından geliştirilen veya sürdürülen birinci taraf Android uygulamalarındaki zayıflıkları bulma ve düzeltme sürecini hızlandırmaktır.
Mobil VRP kapsamındaki uygulamalar Google LLC, Developed with Google, Research at Google, Red Hot Labs, Google Samples, Fitbit LLC, Nest Labs Inc, Waymo LLC ve Waze tarafından geliştirilen uygulamaları içerir.
Kapsam içi uygulamalar listesi, Google’ın “Kademe 1” Android uygulamaları olarak tanımladığı ve aşağıdaki uygulamaları (ve bunların paket adlarını) içeren uygulamaları da içerir:
- Google Play Hizmetleri (com.google.android.gms)
- AGSA( com.google.android.googlequicksearchbox)
- Google Chrome (com.android.chrome)
- Google Bulut (com.google.android.apps.cloudconsole)
- Gmail (com.google.android.gm)
- Chrome Uzaktan Masaüstü (com.google.chromeremotedesktop)
Nitelikli güvenlik açıkları, keyfi kod yürütmeye (ACE) ve hassas verilerin çalınmasına izin verenleri ve benzer bir etkiye yol açacak şekilde diğer kusurlarla zincirlenebilecek zayıflıkları içerir.
Bunlar, sahipsiz izinleri, keyfi dosya yazmaya yol açan yol geçişi veya zip yolu geçişi kusurlarını, dışa aktarılmayan uygulama bileşenlerini başlatmak için istismar edilebilecek amaç yeniden yönlendirmelerini ve bekleyen amaçların güvenli olmayan kullanımından kaynaklanan güvenlik hatalarını içerir.
Google, kullanıcı etkileşimi olmadan uzaktan kod yürütme için maksimum 30.000 $ ve hassas verilerin uzaktan çalınmasına izin veren hatalar için 7.500 $’a kadar ödül vereceğini söylüyor.
| Kategori | 1) Uzak/Kullanıcı Etkileşimi Yok | 2) Kullanıcı, savunmasız uygulamadan yararlanan bir bağlantıyı takip etmelidir | 3) Kullanıcı kötü amaçlı uygulama yüklemelidir veya kurban uygulama varsayılan olmayan bir şekilde yapılandırılmıştır | 4) Saldırganın aynı ağ üzerinde olması gerekir (örn. MiTM) |
|---|---|---|---|---|
| Keyfi Kod Yürütme | 30.000 $ | 15.000 $ | 4.500 dolar | 2.250 dolar |
| Hassas Verilerin Hırsızlığı | 7.500 dolar | 4.500 dolar | 2.250 dolar | 750 dolar |
| Diğer Güvenlik Açıkları | 7.500 dolar | 4.500 dolar | 2.250 dolar | 750 dolar |
Google, “Mobil VRP, Google’ın birinci taraf Android uygulamalarımızın güvenlik duruşunu iyileştirmesine yardımcı olan araştırmacıların katkılarını ve sıkı çalışmalarını takdir ediyor” dedi.
“Programın amacı, birinci taraf Android uygulamalarındaki güvenlik açıklarını azaltmak ve böylece kullanıcıları ve verilerini güvende tutmaktır.”
Ağustos 2022’de şirket, güvenlik araştırmacılarına Bazel, Angular, Golang, Protocol buffers ve Fuchsia gibi en hassas projeleri de dahil olmak üzere Google açık kaynaklı yazılımının (Google OSS) en son yayınlanan sürümlerindeki hataları bulmaları için ödeme yapacağını duyurdu.
Google, on yıldan uzun bir süre önce, 2010’da ilk VRP’sini piyasaya sürdüğünden beri, dünya çapında binlerce güvenlik araştırmacısını 15.000’den fazla güvenlik açığı bildirdikleri için 50 milyon dolardan fazla ödüllendirdi.
2022’de, gzobqq tarafından bildirilen beş ayrı güvenlik hatasından oluşan bir Android istismar zinciri için rekor kıran 605.000 $’lık ödeme de dahil olmak üzere 12 milyon $ ödül verdi.
Bir yıl önce, aynı araştırmacı Android’de başka bir kritik istismar zinciri göndererek 157.000 $ daha kazandı; bu, o sırada Android VRP tarihindeki önceki hata ödül rekoruydu.