Google, geliştirdiği ve sürdürdüğü Android uygulamalarındaki güvenlik açıklarını bildiren hata avcılarının alabileceği ödülleri büyük ölçüde artırdı.
Google bilgi güvenliği mühendisi Kristoffer Blasiak, “Bazı kategorilerde ödül tutarlarını 10 kata kadar artırdık (örneğin, Katman 1 uygulamasında Uzaktan Rastgele Kod Yürütme 30.000 ABD Dolarından 300.000 ABD Dolarına çıktı),” dedi.
Google ayrıca Mobil Güvenlik Açığı Ödül Programı ekibinin daha hızlı kararlar alabilmesi amacıyla yüksek kaliteli raporlar için daha fazla ödeme yapmaya hazır.
Artan hata ödülleri
Google Mobil Güvenlik Açığı Ödül Programı Mayıs 2023’te başlatıldı ve Google ile yan kuruluşları (ör. Fitbit, Waymo, Waze vb.) tarafından geliştirilen Android uygulamalarını kapsıyor.
Uygulamalar üç katmana ayrılmıştır:
- 1. kat Google Play Hizmetlerini, Android Google Arama Uygulamasını (AGSA), Google Cloud’u ve Gmail’i içerir
- 2. Kademe 1. Seviye bir uygulamayla, kullanıcı verileriyle veya Google hizmetleriyle etkileşimde bulunan uygulamaları içerir
- 3. Kademe kullanıcı verilerini işlemeyen veya Google hizmetleriyle etkileşimde bulunmayan uygulamaları içerir
Bu son değişikliklerden sonra, Seviye 1 uygulamasındaki, rastgele kod yürütülmesine yol açabilen ve uzaktan ve kullanıcı etkileşimi olmadan tetiklenebilen bir hata, keşfedicisine 300.000 ABD doları kazandırabilir. Kullanıcı etkileşimi (örn. bir bağlantıyı takip etmek) gerekiyorsa ödül miktarı yarıya indirilir.
Blasiak, “En etkili raporları uygun şekilde ödüllendirdiğimizden emin olmak için, ödül artışlarını araştırmacıların özellikle dikkat etmesini istediğimiz kategorilere odaklama fırsatını da değerlendirdik” diye ekledi.
“Bunun bir örneği, ödül tutarlarını önemli ölçüde artırdığımız Veri hırsızlığıdır, ancak aynı zamanda farklı Veri hırsızlığı türlerinin etkisine dair örnekler vermeyi de ihmal etmedik; bu, elde edilen verilerin nihai ödül miktarı üzerinde nasıl bir etkiye sahip olduğunu netleştirmeye yardımcı oluyor.”
Saldırganların hassas verileri çalmasına olanak tanıyan hatalara yönelik ödüller, hatanın kullanıcı etkileşimi olmadan uzaktan istismar edilebilmesi durumunda 75.000 ABD Dolarına, kullanıcı etkileşiminin istismar için bir ön koşul olması durumunda ise 37.500 ABD Dolarına ulaşmaktadır.
Tier 2 ve Tier 3 uygulamalarındaki hatalar program kapsamındadır ancak daha küçük ödüller sunar.
Google ayrıca, nihai ödül miktarını 1,5 oranında artırma sözü vererek hata avcılarını olağanüstü kalitede raporlar (yani önerilen bir yama/hafifletme, temel neden analizi ile birlikte gelen ve bulguların etkisini açıkça gösteren raporlar) teslim etmeye teşvik etmek istiyor. X.
Ekip, “Lütfen kısa ve öz olun: Raporunuz güvenlik mühendisleri tarafından önceliklendirilir ve kısa bir kavram kanıtı, belirli bir hatanın sonuçlarını açıklayan bir videodan daha değerlidir” diyor.
Google, etik korsanları Android uygulamalarındaki güvenlik açıklarını aramaya teşvik ediyor
Blasiak, bu değişikliklerin en iyi hata avcılarından gelen geri bildirimler sonrasında getirildiğini söylüyor.
Bir yıl önce Google, Chrome’dan tam anlamıyla yararlanabilmek için bir araya getirilebilecek güvenlik hatalarını bildirenlere benzer şekilde büyük ödüller vereceğini duyurdu.
Google, Pittsburgh Üniversitesi ve Carnegie Mellon Üniversitesi’nden bir grup araştırmacının yakın zamanda hata ödül programlarını inceledikten sonra doğruladığı şeyi açıkça biliyor ve kabul ediyor: “Daha yüksek ödüller, etik bilgisayar korsanlarını daha fazla çaba göstermeye teşvik eder, böylece ciddi güvenlik açıklarını ilk önce keşfetme olasılıklarını artırır. Kötü niyetli bilgisayar korsanlarının başarı olasılığını azaltıyor.”