گوگل پاداش برنامه‌های کشف اشکال را افزایش می دهد!

گوگل پس از پرداخت بیش از نیم میلیون دلار به محققانی که نقاط آسیب‌پذیری موجود در برنامه اندروید را در قالب برنامه پاداش در ازای کشف اشکال به این شرکت اعلام می‌کنند، به تازگی اقدام به افزایش این میزان پاداش کرده است.
برنامه پاداش امنیت اندروید دقیقاً یک سال پیش شروع شد و در آن زمان برای هر اشکال ثبت شده حداکثر ۳۸ هزار دلار پاداش در نظر گرفته شده بود. در طول این یک سال، ۸۲ محقق بیش از ۲۵۰ اشکال را در محصولات و برنامه‌ها و سامانه‌های اندروید یافتند که در مجموع برای این مقدار اشکال کشف شده، گوگل ۵۵۰ هزار دلار پاداش پرداخت کرده است.

در میان این محققان، کسی که بیشترین اشکال و بالطبع مبلغ دریافتی را داشته است، پیتر پی، از شرکت Trend Mirco است. وی بیش از ۷۵ هزار دلار را برای کشف ۲۶ نقطه آسیب‌پذیری دریافت کرده است. در همین حال، تعداد زیادی ازمحققان روی هم تنها ۱۰ هزار دلار و یا شاید بیشتر دریافت کرده‌اند. نکته مهم در این مسائل این است که گوگل بیشترین مقدار پاداش را برای کشف اشکالی در نظر گرفته است که هنوز کسی موفق به انجام آن نشده است. این نقطه آسیب‌پذیری مربوط به زنجیره سوءاستفاده از راه دور است که در صورت حمله نفوذگران، منجر به افشای اطلاعات و حمله به سخت‌افزارهای TrustZone و یا Verified Boot می‌شود.

گوگل روز پنج شنبه اعلام کرد که در حال ایجاد تغییرات مثبتی در برنامه پاداش کشف اشکال خود است. این موتور جستجوی عظیم اعلام کرد که میزان پاداش پرداختی را برای کشف اشکال‌های مهم و خطرناک ۳۳ درصد افزایش داده است که این برنامه جدید از اول ژوئن اعمال می‌شود. برای مثال، محققان شرکت‌کننده در این برنامه به ازای گزارش مربوط به یک آسیب‌پذیری مهم می‌توانند به جای ۳ هزار دلار، ۴ هزار دلار دریافت کنند. شایان ذکر است که گزارش تنظیم شده باید حتماً همراه اثبات مفهوم، یعنی اثبات دقیق اشکال باشد.

میزان پاداش پرداختی در این برنامه برای اشکالات فوق مهم ۵۰ درصد افزایش یافته است. ثبت این اشکالات نه تنها اثبات مفهوم می‌خواهد، بلکه برای طراحی وصله نیازمند آزمایش روی سامانه‌های ساده نیز می‌باشد. میزان پاداش تعیین شده برای سوءاستفاده از هسته‌های proximal و یا راه دور نیز از ۲۰ هزار دلار به ۳۰ هزار دلار افزایش یافته است.
در عین حال، بیشترین پاداش، همانطور که قبلاً گفته شد منجر به انجام زنجیره سوءاستفاده‌های از راه دور شده و باعث اختلال در سخت‌افزارهای TrustZone و Verified Boot می‌شود، از ۳۰ هزار دلار به ۵۰ هزار دلار افزایش یافته است.

کوان تو، مدیر برنامه‌های امنیتی در شرکت گوگل در بیان توضیحات بیشتر، اعلام کرد: «این برنامه بیشتر روی دستگاه‌های Nexus تمرکز دارد و هدف اصلی آن ارتقاء امنیت اندروید است و در همین حال، بیش از یک چهارم مسائل موجود در مورد کدهایی مخابره می‌شود که در خارج از پروژه متن باز اندروید (Android Open Source Project) طراحی و استفاده می‌شوند. رفع این اشکالات موجود در هسته و درایور دستگاه می‌تواند منجر به ارتقاء امنیت صنایع ساده تلفنی (و حتی برخی زمینه‌های غیرتلفنی) شود.»
از آنجایی که گزارش‌های مخابره شده در مورد نقاط آسیب‌پذیری اندروید در پایگاه استیج‌فرایت (Mediaservers’ libstagefright library) ثبت می‌شود، گوگل معتقد است این برنامه باعث تقویت بخش‌های امنیتی در نسخه اندروید N شده است. نسخه اندروید N نسخه عظیم بعدی در زمینه سامانه عامل تلفن همراه به شمار می رود.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap