در اخبار مرتبط، محققان این هفته یک حمله brute-force جدید را شرح دادند که می تواند قفل اثر انگشت در تلفن های اندرویدی را دور بزند. چندین مدل محبوب از شرکت هایی مانند سامسونگ، شیائومی و وان پلاس را تحت تأثیر قرار می دهد و این اکسپلویت را می توان در مدت زمان نسبتاً کوتاه و با سخت افزار نسبتاً ارزان انجام داد.
پاداشها بر اساس شدت نقص کشفشده و برنامههای آسیبدیده متفاوت است، و Google مایل است تا 30000 دلار برای یافتن نقصهایی که به مهاجمان اجازه میدهد کد از راه دور را بدون تعامل کاربر اجرا کنند، بپردازد. قابل توجه ترین پاداش برای یافتن یک نقص جدی در برنامه های Tier 2 و Tier 3 به ترتیب 25000 دلار و 20000 دلار است. کمترین مبلغی که برای یک گزارش واجد شرایط اعطا میشود، 500 دلار است، اما Google ممکن است یک جایزه 1000 دلاری را برای نوشتههای استثنایی اعمال کند.
در مورد انواع آسیبپذیریهای امنیتی که واجد شرایط برنامه Mobile VRP هستند، گوگل میگوید که بیشتر به باگهایی علاقهمند است که اجازه اجرای کد دلخواه و سرقت دادهها را میدهند، بنابراین مهندسان امنیتی آن چنین گزارشهایی را در اولویت قرار میدهند. با توجه به گفتهشده، این شرکت همچنین به دنبال کسب اطلاعات در مورد سایر نقصهای امنیتی است که میتوانند به عنوان بخشی از زنجیرههای بهرهبرداری مورد استفاده قرار گیرند، از جمله آسیبپذیریهای پیمایش مسیر یا پیمایش مسیر zip، مجوزهای یتیم، و تغییر مسیرهای هدف که میتوانند برای راهاندازی اجزای برنامه غیرصادراتی استفاده شوند. .
محققان امنیتی که به VRP موبایل علاقه مند هستند می توانند جزئیات بیشتری را در اینجا بیابند. گوگل میگوید گزارشها باید مختصر باشند و در صورت امکان شامل یک اثبات مفهومی کوتاه باشند – برخی از دستورالعملها در مورد نحوه ارسال گزارشهای بهتر باگ را میتوانید در اینجا پیدا کنید.
برنامه جدید برنامه های اندروید شخص اول را در سه سطح طبقه بندی می کند. اولین ردیف شامل مهمترین برنامه ها، مانند خدمات Google Play، Google Chrome، Gmail، Chrome Remote Desktop، Google Cloud و AGSA (ویجت جستجوی Google در اندروید) است. برنامه های ردیف دو و ردیف 3 شامل برنامه هایی هستند که توسط بخش تحقیقاتی Google، Google Samples، Red Hot Labs، Nest Labs، Waymo و Waze توسعه یافته اند.
برنامه پاداش باگ گوگل یکی از بزرگترین برنامه ها در صنعت فناوری است و تنها در سال 2022 12 میلیون دلار به محققان امنیتی پرداخت شده است. بالاترین پاداش 605000 دلار برای متخصصی بود که یک زنجیره بهره برداری متشکل از پنج آسیب پذیری در اندروید را کشف کرد.
این هفته، این شرکت برنامه پاداش آسیبپذیری موبایل (Mobile VRP) را راهاندازی کرد که محققان علاقهمند به جستجو و تقویت امنیت برنامههای اندرویدی ساختهشده توسط گوگل یا سایر شرکتهای متعلق به آلفابت را هدف قرار میدهد.
اوایل این ماه، گوگل برنامه پاداش آسیب پذیری دستگاه های اندروید و گوگل (VRP) را با یک سیستم رتبه بندی کیفیت جدید برای گزارش های اشکال به روز کرد و حداکثر پاداش برای یافتن آسیب پذیری های حیاتی را به 15000 دلار افزایش داد. این شرکت در آن زمان توضیح داد که این کار رفع نقصهای امنیتی در تلفنهای پیکسل، دستگاههای Google Nest و پوشیدنیهای Fitbit و همچنین سیستمعامل اندروید را به موقعتر آسانتر میکند.
به طور خلاصه: سال گذشته، برنامه پاداش باگ گوگل کمتر از 12 میلیون دلار به محققانی که نقص های امنیتی را در محصولات و خدمات آن شناسایی کردند، اهدا کرد. این رقم نسبت به 8.7 میلیون دلاری که در سال 2021 پرداخت شده بود به میزان قابل توجهی افزایش یافته است و انتظار می رود در سال های آینده نیز افزایش یابد. این شرکت اکنون در حال گسترش تلاش های تحقیقاتی امنیتی خود با برنامه جدیدی است که برنامه های اندرویدی شخص اول را هدف قرار می دهد.
همچنین بخوانید: آیا اندروید به ذخیره نیاز دارد؟ اگر بله، در اینجا نحوه انجام آن آمده است.
