گوگل به کسانی که در اندروید باگ کشف کنند، ۱/۵ میلیون دلار جایزه میدهد
گوگل بهطور مستقیم از کارشناسان حوزهی فناوری میخواهد اندروید را بهدقت بررسی کنند و اگر باگی در آن وجود دارد، پیدا کنند و جایزه بگیرند.
گوگل روز گذشته اطلاعیهی جدیدی منتشر کرد و در آن، از راهاندازی برنامهی شکار باگ (Bug Bounty) جدید برای پلتفرم اندروید خبر داد. براساس اعلام رسمی، اگر کسی بتواند تراشهی امنیتی تایتان ام (Titan M) گوشیهای سری پیکسل را هک و در نسخههای پیشنمایش مخصوص توسعهدهندگان سیستمعامل اندروید اکسپلویت پیدا کند، جایزهای ۱/۵ میلیون دلاری دریافت خواهد کرد. البته اگر کاربر فقط نقص امنیتی تایتان ام را پیدا کند، حداکثر یکمیلیون دلار دریافت خواهد کرد. هدف گوگل از پیداکردن نقصهای امنیتی در نسخههای پیشنمایش اندروید این است که پیش از ساخت و توسعهی کامل نسخهی نهایی، باگهای مذکور را رفع کند تا گوشیهای اندرویدی هنگام عرضه به بازار بهطور پیشفرض نقص امنیتی نداشته نباشند.
ماژول امنیتی تایتان ام سال گذشته همراهبا گوشی پیکسل ۳ معرفی شد و در گوشیهای گوگل پیکسل ۴ و پیکسل ۴ ایکس ال هم حضور دارد. تایتان ام درواقع تراشهای مجزا از تراشهی اصلی سیستم است که بهطور مستقل پردازشهای حساس و امنیتی خاصی نظیر Verified Boot، رمزنگاری اطلاعات روی حافظهی دستگاه، حفاظت ویژه از صفحهی قفل، تأمین امنیت پرداختها و… را برعهده دارد.
تا زمان اعلام این خبر، بیشتر جایزهی شکار باگ گوگل کمی بیش از ۲۰۰ هزار دلار بود؛ ولی اکنون این شرکت تصمیم گرفته است جایزهی بسیار بیشتری برای پیداکردن نقص امنیتی در محصولات و سرویسهایش تعیین کند تا متخصصان بیشازپیش به بررسی دقیق آنها ترغیب شوند و مشکلات را پیدا کنند.
آمار نشان میدهد گوگل بهطور کلی در ۱۲ ماه اخیر، حدودا ۱/۵ میلیون دلار در برنامههای شکار باگ به افراد و گروههای مختلف جایزه داده است؛ یعنی بهطور میانگین ۳ هزار و ۸۰۰ دلار.
در سال ۲۰۱۹، بیشترین جایزهای که گوگل به یکی از این افراد یا گروهها اهدا کرد، معادل ۱۶۱ هزار و ۳۳۷ دلار آمریکا بود. گوگل از سال ۲۰۱۰ تاکنون به برخی از افرادی که نقصهای امنیتی مرورگر کروم را گزارش میدهند، مبلغی بهعنوان پاداش اهدا میکند. این شرکت در ژوئیه سال گذشته، جایزهای ۳۰ هزار دلاری برای برنامهی شکار باگ در مرورگر کروم تعیین کرد.
افزایش مبلغ پاداش گوگل در برنامهی شکار باگ اندروید حالی اتفاق میافتد که مدتی پیش برخی شرکتهای خصوصی برای باگهای اندروید جایزهای تا سقف ۲/۵ میلیون دلار تعیین کردند. این خبر را که در سپتامبر ۲۰۱۹ رسانهی ZDNet منتشر کرد، نشان داد برای نخستینبار در طول تاریخ، ارزش اکسپلویتهای اندروید در بازارهای خصوصی بیشتر از اکسپلویتهای کشفشده در سیستمعامل iOS است. در آن زمان، مدیرعامل یکی از شرکتهای خصوصی اعلام کرد آنها به این دلیل پاداش را افزایش دادهاند که امروزه هککردن گوشیهای اندرویدی بهکاری سختتر تبدیل شده است؛ زیرا گوگل بهطور منظم ویژگیهای امنیتی جدیدی به سیستمعاملش اضافه میکند. این موضوع فقط مختص به خود گوگل نیست و برخی از شرکتها نظیر سامسونگ که محصولات اندرویدی تولید میکنند، همواره در پی افزایش امنیت دستگاههایشان هستند.
کیسی الیس، بنیانگذار و مدیر ارشد بخش فناوری در شرکت Bugcrowd، میگوید ازآنجاکه مهارت همهی افراد متخصص شاغل در گوگل بهحدی نیست که بتوانند تمام آسیبپذیریها را کشف کنند، این شرکت پاداش برنامهی شکار باگ خود را افزایش داده است. درضمن در بازارهای خصوصی مبالغ بیشتری برای آسیبپذیریهای اندروید پرداخت میشود؛ بنابراین منطقی است اگر کسی که آسیبپذیری پیدا میکند، نخواهد آن را به خود گوگل گزارش دهد.
الیس درادامهی سخنانش میگوید:گوگل با افزایش انگیزهی هکرها برای گزارش آسیبپذیریها، کاری کرده است که روند شکار باگ و دریافت پاداش برای این افراد جذابتر باشد. این موضوع بهویژه برای هکرهایی صدق میکند که بین کلاهسفید (Whitehat) یا کلاهسیاه (Blackhat) بودن گیر کردهاند (هکر کلاهسفید به هکری گفته میشود که ازطریق هککردن کارهای مفیدی انجام میدهد و هکر کلاهسیاه هم به هکری گفته میشود که ازطریق هککردن کارهای خرابکارانه انجام میدهد).