Daha derin araştırmaları teşvik etmek ve en iyi güvenlik yeteneklerini çekmek için Google, Chrome Güvenlik Açığı Ödül Programı (VRP) aracılığıyla sunulan ödülleri önemli ölçüde artırdı. 2010 yılında başlatılan Chrome Hata Ödülü programı, Google’ın Chrome’un güvenliğini güçlendirme ve onu piyasadaki en güvenli tarayıcı yapma yolundaki devam eden arayışında hayati bir araç haline geldi.
28 Ağustos 2024’te duyurulan güncellenmiş ödül yapısı, araştırmacılara kritik güvenlik açıklarını ortaya çıkarıp bildirmeleri karşılığında 250.000 dolar gibi inanılmaz bir miktar kazanma potansiyeli sunuyor. Bu, yaklaşık 115.000 dolarlık önceki maksimum ödülden önemli bir artışı temsil ediyor.
En Kritik Kusuru Hedefleme
En önemli ödül artışları, en fazla zarara yol açma potansiyeline sahip güvenlik açıklarını hedef alır. Google, özellikle sandbox olmayan işlemlerdeki bellek bozulması hatalarını belirlemeye ve düzeltmeye odaklanmıştır. Bu güvenlik açıkları, istismar edilirse saldırganların Chrome’un güvenlik önlemlerini atlatarak doğrudan bir kullanıcının sisteminde kötü amaçlı kod yürütmesine olanak tanıyabilir.
Böyle bir açığı başarıyla ortaya çıkarmak için araştırmacılar artık rekor kıran 250.000 dolarlık bir ödül kazanabilirler. Bu rakam, istismar Chrome’un işleyici sürecindeki ek güvenlik katmanlarını atlatırsa daha da yükselebilir.
Ödüllendirici Derinlemesine Araştırma
Manşetlere konu olan maksimum ödül kesinlikle dikkat çekecektir, ancak Google güncellenen VRP ile daha geniş bir hedefi vurgulamaktadır. Arttırılmış ödüller ayrıca araştırmacıları güvenlik açıklarını belirlemenin olası sonuçlarını daha derinlemesine araştırmaya teşvik etmek için tasarlanmıştır.
Google, istismarın potansiyel etkisinin kapsamlı bir analizini içeren raporlar için daha yüksek ödemeler sunarak araştırmacıların yalnızca kusuru tespit etmelerini değil, aynı zamanda saldırganlar tarafından nasıl kullanılabileceğine dair değerli içgörüler sağlamalarını da sağlamayı amaçlıyor. Bu ek bilgi, Google’ın güvenlik ekiplerinin sağlam yamalar geliştirmek ve güvenlik açığıyla ilişkili riskleri azaltmak için çalışırken çok önemlidir.
Bellek Bozulmasının Ötesinde
Yenilenen VRP ödül yapısı, bellek bozulması güvenlik açıklarının ötesine uzanıyor. Google, güvenlik açıklarının çeşitli kategorilerinde, istismarın ciddiyetine ve potansiyel etkisine göre uyarlanmış ödemelerle artırılmış ödüller sunuyor.
Örneğin, çapraz site komut dosyası çalıştırma (XSS) saldırılarına yol açabilecek veya site izolasyon mekanizmalarını aşabilecek istemci tarafındaki güvenlik açıklarını ayrıntılarıyla açıklayan yüksek kaliteli raporları ortaya çıkaran araştırmacılar 30.000 dolara kadar kazanabilir.
Ayrıca Google, Chrome’un kullanım sonrası ücretsiz istismarlara karşı savunmasında önemli bir bileşen olan MiraclePtr teknolojisinin bütünlüğünü tehlikeye atabilecek güvenlik açıklarına özel bir odaklanma koydu. MiraclePtr için bir atlatmayı başarıyla tespit eden araştırmacılar, şimdi önceki miktardan önemli bir artışla 250.128 $’lık bir ödül talep edebilirler.
Google ayrıca, Chrome kullanıcılarına yönelik kalite, etki ve potansiyel zararlarına bağlı olarak diğer güvenlik açığı sınıflarına ilişkin raporları da kategorilere ayırır ve ödüllendirir:
- Daha düşük etki: istismar edilebilirlik potansiyeli düşük, istismar için önemli ön koşullar, saldırgan kontrolü düşük, kullanıcıya zarar verme riski/potansiyeli düşük
- Orta düzeyde etki: istismar için orta düzeyde ön koşullar, saldırganın makul düzeyde kontrolü
- Yüksek etki: istismara giden basit yol, kanıtlanabilir ve önemli kullanıcı zararı, uzaktan istismar, istismar için düşük ön koşullar
Hata Ödüllerinde Artan Bir Trend
Google, önde gelen güvenlik araştırmacılarını bünyesine katarak ve güvenlik açıklarının derinlemesine analizini teşvik ederek, siber tehditlere karşı devam eden mücadelede rakiplerinin önünde kalmayı hedefliyor.
Google’ın artan VRP ödülleri, siber güvenlik sektöründeki daha geniş bir eğilimin parçasıdır. Siber tehditler daha karmaşık hale geldikçe, şirketler kötü niyetli aktörler tarafından istismar edilmeden önce güvenlik açıklarını tespit etmek ve gidermek için giderek daha fazla hata ödül programlarına yöneliyor.
Bu programlar, kazançlı ödüller sunarak, zamanlarını ve uzmanlıklarını kritik kusurları ortaya çıkarmaya adayan yetenekli güvenlik araştırmacılarını cezbeder. Güvenliğe yönelik bu işbirlikçi yaklaşım, Google gibi şirketlerin gelişen tehdit manzarasının önünde kalmasına ve kullanıcılarının güvenliğini sağlamasına yardımcı olur.