Google, şirketin ürün ve hizmetlerindeki güvenlik kusurlarını bulup sorumlu bir şekilde bildirdikleri için 2023 yılında 68 ülkeden 632 araştırmacıya 10 milyon dolar ödül verdi.
Bu, Google'ın Güvenlik Açığı Ödül Programı'nın 2022'de araştırmacılara ödediği 12 milyon ABD dolarından daha düşük olsa da, bu miktar hâlâ önemli ve Google'ın güvenlik çabalarına topluluğun yüksek düzeyde katılımını gösteriyor.
2023'te bir güvenlik açığı raporuna verilen en yüksek ödül 113.337 dolar olurken, programın 2010'daki lansmanından bu yana toplam ödül 59 milyon dolara ulaştı.
Program, dünyanın en popüler ve en yaygın kullanılan mobil işletim sistemi olan Android için 3,4 milyon doların üzerinde ödül aldı.
Google ayrıca Android ile ilgili kritik güvenlik açıkları için maksimum ödül tutarını 15.000 dolara çıkararak topluluk raporlarının artmasına neden oldu.
ESCAL8 ve hardwea.io gibi güvenlik konferansları sırasında Google, Wear OS ve Android Automotive OS'deki 20 kritik keşif için 70.000 ABD Doları ve Nest, Fitbit ve Wearables'daki sorunlarla ilgili 50 rapor için de 116.000 ABD Doları ödül verdi.
Google'ın diğer büyük yazılım projesi Chrome tarayıcısı, toplam 2,1 milyon dolar ödeyen 359 güvenlik hatası raporuna konu oldu.
1 Haziran 2023'te şirket, Chrome'u hedef alan korumalı alan kaçış zinciri saldırıları için 1 Aralık 2023'e kadar ödül ödemelerini üç katına çıkaracağını duyurdu.
Program aynı zamanda Chrome'un JavaScript motoru olan V8'in eski (M105'ten önceki) sürümlerindeki hatalara yönelik ödülleri de artırdı; bu, uzun süredir var olan (M91'den bu yana) bir V8 JIT optimizasyon hatası için 30.000 ABD doları tutarında bir ödül gibi önemli keşiflere ve ödüllere yol açtı.
Google'ın gönderisinde vurgulanan bir diğer nokta ise Chrome M116'da, oluşturucu olmayan Ücretsiz Kullanımdan Sonra (UAF) güvenlik açıklarına karşı koruma sağlayan 'MiraclePtr' özelliğinin tanıtılmasıdır.
MiraclePtr'nin piyasaya sürülmesinden sonra bu kusurların 'büyük ölçüde hafifletildiği' kabul edilmesi nedeniyle Google, koruma mekanizmasının kendisini atlamak için ayrı bir ödül sınıfı başlattı.
Son olarak, inceleme aynı zamanda Google Bard gibi güvenlik üreten yapay zeka ürünlerindeki çabalara da değiniyor ve bugSWAT canlı hackleme etkinliğinde 35 araştırmacının raporuyla 87.000 ABD doları tutarında ödeme elde ediliyor.
Hata ödül programında, ödüllerin yanı sıra 2023 yılında aşağıdaki önemli gelişmeler ve iyileştirmeler yaşandı:
- Belirli hedefler için ekstra ödüller sunan Bonus Ödülleri programının tanıtımı.
- Açıklardan yararlanma ödülü programının, Chrome'un V8 JavaScript motoruna odaklanan v8CTF'nin kullanıma sunulmasıyla vurgulanan Chrome ve Bulut'u içerecek şekilde genişletilmesi.
- Birinci taraf Android uygulamaları için Mobil VRP'nin açılışı.
- İnternete yönelik içgörüleri ve güvenlik önlemlerini paylaşmak için Bughunters blogunun başlatılması.
- Canlı hack etkinlikleri, atölye çalışmaları ve konuşmaların yer aldığı ESCAL8 güvenlik konferansının Tokyo'da düzenlenmesi.
Google'ın hata ödül programına katılmak isteyenler, Bug Hunters topluluğu aracılığıyla bu program hakkında daha fazla bilgi edinebilir.