گوگل برنامه پاداش باگ را برای برنامه های اندرویدی خود مانند کروم، جی میل و ویجت جستجو نشان می دهد

در اخبار مرتبط، محققان این هفته یک حمله brute-force جدید را شرح دادند که می تواند قفل اثر انگشت در تلفن های اندرویدی را دور بزند. چندین مدل محبوب از شرکت هایی مانند سامسونگ، شیائومی و وان پلاس را تحت تأثیر قرار می دهد و این اکسپلویت را می توان در مدت زمان نسبتاً کوتاه و با سخت افزار نسبتاً ارزان انجام داد.

پاداش‌ها بر اساس شدت نقص کشف‌شده و برنامه‌های آسیب‌دیده متفاوت است، و Google مایل است تا 30000 دلار برای یافتن نقص‌هایی که به مهاجمان اجازه می‌دهد کد از راه دور را بدون تعامل کاربر اجرا کنند، بپردازد. قابل توجه ترین پاداش برای یافتن یک نقص جدی در برنامه های Tier 2 و Tier 3 به ترتیب 25000 دلار و 20000 دلار است. کمترین مبلغی که برای یک گزارش واجد شرایط اعطا می‌شود، 500 دلار است، اما Google ممکن است یک جایزه 1000 دلاری را برای نوشته‌های استثنایی اعمال کند.

اعتبار دکل: الکساندر لندن



منبع

در مورد انواع آسیب‌پذیری‌های امنیتی که واجد شرایط برنامه Mobile VRP هستند، گوگل می‌گوید که بیشتر به باگ‌هایی علاقه‌مند است که اجازه اجرای کد دلخواه و سرقت داده‌ها را می‌دهند، بنابراین مهندسان امنیتی آن چنین گزارش‌هایی را در اولویت قرار می‌دهند. با توجه به گفته‌شده، این شرکت همچنین به دنبال کسب اطلاعات در مورد سایر نقص‌های امنیتی است که می‌توانند به عنوان بخشی از زنجیره‌های بهره‌برداری مورد استفاده قرار گیرند، از جمله آسیب‌پذیری‌های پیمایش مسیر یا پیمایش مسیر zip، مجوزهای یتیم، و تغییر مسیرهای هدف که می‌توانند برای راه‌اندازی اجزای برنامه غیرصادراتی استفاده شوند. .

بخونید:  مانیتورهای جدید سامسونگ شامل 57 اینچ 8K فوق عریض و دو نمایشگر بزرگ QD-OLED هستند.

محققان امنیتی که به VRP موبایل علاقه مند هستند می توانند جزئیات بیشتری را در اینجا بیابند. گوگل می‌گوید گزارش‌ها باید مختصر باشند و در صورت امکان شامل یک اثبات مفهومی کوتاه باشند – برخی از دستورالعمل‌ها در مورد نحوه ارسال گزارش‌های بهتر باگ را می‌توانید در اینجا پیدا کنید.

برنامه جدید برنامه های اندروید شخص اول را در سه سطح طبقه بندی می کند. اولین ردیف شامل مهمترین برنامه ها، مانند خدمات Google Play، Google Chrome، Gmail، Chrome Remote Desktop، Google Cloud و AGSA (ویجت جستجوی Google در اندروید) است. برنامه های ردیف دو و ردیف 3 شامل برنامه هایی هستند که توسط بخش تحقیقاتی Google، Google Samples، Red Hot Labs، Nest Labs، Waymo و Waze توسعه یافته اند.

برنامه پاداش باگ گوگل یکی از بزرگترین برنامه ها در صنعت فناوری است و تنها در سال 2022 12 میلیون دلار به محققان امنیتی پرداخت شده است. بالاترین پاداش 605000 دلار برای متخصصی بود که یک زنجیره بهره برداری متشکل از پنج آسیب پذیری در اندروید را کشف کرد.

این هفته، این شرکت برنامه پاداش آسیب‌پذیری موبایل (Mobile VRP) را راه‌اندازی کرد که محققان علاقه‌مند به جستجو و تقویت امنیت برنامه‌های اندرویدی ساخته‌شده توسط گوگل یا سایر شرکت‌های متعلق به آلفابت را هدف قرار می‌دهد.

اوایل این ماه، گوگل برنامه پاداش آسیب پذیری دستگاه های اندروید و گوگل (VRP) را با یک سیستم رتبه بندی کیفیت جدید برای گزارش های اشکال به روز کرد و حداکثر پاداش برای یافتن آسیب پذیری های حیاتی را به 15000 دلار افزایش داد. این شرکت در آن زمان توضیح داد که این کار رفع نقص‌های امنیتی در تلفن‌های پیکسل، دستگاه‌های Google Nest و پوشیدنی‌های Fitbit و همچنین سیستم‌عامل اندروید را به موقع‌تر آسان‌تر می‌کند.

بخونید:  Last-minute iPhone 15 rumors: A17 SoC, USB-C, titanium, and more

به طور خلاصه: سال گذشته، برنامه پاداش باگ گوگل کمتر از 12 میلیون دلار به محققانی که نقص های امنیتی را در محصولات و خدمات آن شناسایی کردند، اهدا کرد. این رقم نسبت به 8.7 میلیون دلاری که در سال 2021 پرداخت شده بود به میزان قابل توجهی افزایش یافته است و انتظار می رود در سال های آینده نیز افزایش یابد. این شرکت اکنون در حال گسترش تلاش های تحقیقاتی امنیتی خود با برنامه جدیدی است که برنامه های اندرویدی شخص اول را هدف قرار می دهد.

همچنین بخوانید: آیا اندروید به ذخیره نیاز دارد؟ اگر بله، در اینجا نحوه انجام آن آمده است.