bencede
New member
Google, “Mobil Güvenlik Açığı Ödül Programı”nı (VRP) veya Android uygulamaları için hata ödül programını uyguladıktan bir yıl sonra durumu değerlendiriyor. Şirket bunu tam bir başarı olarak görüyor ve bazı durumlarda primleri on katına kadar artırıyor.
Duyuru
Bir blog yazısında “Bughunters” ekibi, o yıl Android hata ödül programı aracılığıyla 40 geçerli güvenlik açığı raporunun alındığını yazıyor. Gazetecilere toplamda neredeyse 100.000 dolar ödül getireceklerdi.
Android Bug Bounty: Yaygın Güvenlik Açıkları
Güvenlik açıklarının çoğu, izin kısıtlamalarını aşma veya hak kontrollerinin eksik olması, sözde yeniden yönlendirme (mesaj nesnelerinin yeniden yönlendirilmesi) kategorilerine giriyor. [=Intent] kötü amaçlı uygulamalarda veya saldırganlar tarafından kontrol edilen uygulama bileşenlerinde), CreatePackageContext sorunları ve paket adı yazım yanlışlığı. Ortaya çıkan güvenlik açıkları, saldırganların yerel olarak (bazı durumlarda Google tarafından geliştirilen SDK'larda bile) rastgele kod yürütmesine, bir bağlantıyı izledikten sonra rastgele kod yürütmesine veya hassas bilgileri çalmasına olanak tanıdı.
Google, amacın her zaman Google'ın Android uygulamalarındaki güvenlik açıklarını düzeltmek ve böylece kullanıcıları ve verilerini korumak olduğunu yazıyor. Bu, Google'ın uygulamalarının güvenliğini artırmasına yardımcı olan BT güvenlik araştırmacılarının sıkı çalışmaları ve katkıları dikkate alınarak yapılmalıdır. Bu tam bir başarıydı ancak en yetenekli hata raporlayıcılarından gelen geri bildirimlere dayanarak ikinci bölümü geliştirmek istiyorlar.
Mobil Güvenlik Açığı Ödül Programı: Artan Ödüller
Bir yandan Google, büyük Google uygulamalarındaki bir boşluk için ödediği tutarı artırdı: Gmail gibi 1. Kademe bir Google uygulamasındaki bir uzaktan kod yürütme boşluğu için, gazeteciler artık 30.000 ABD Doları yerine 300.000 ABD Dolarına kadar kazanabilirler. Öte yandan ilişkilerin kalitesine ve kanıtlanmış etkilere daha fazla vurgu yapılıyor. Bazı sektörlerde ödüllerin artmasıyla birlikte Google, en kötü etkiye sahip raporların yeterince ödüllendirilmesi için bilgisayar bilimcilerinin de dikkatini çekmek istiyor.
Google, güvenlik açıklarını daha kolay tespit etmenize ve daha hızlı karar vermenize olanak tanıyan daha ayrıntılı raporlar elde etmek için kaliteye dayalı bir faktör sunar. Ödenecek ödül için olağanüstü kaliteli raporlar 1,5, iyi kaliteli raporlar 1, düşük kaliteli raporlar ise 0,5 puan alır. Güncellenen Google Bug Bounty program kuralları, bu derecelendirmelerin nasıl kazanılacağına ilişkin bilgi sağlar.
Bir yıl önce Google, hata ödül programını başlattı. Yalnızca Google'ın Android uygulamaları değil aynı zamanda diğer şirketlerin uygulamaları da dahildir. Bu, siber güvenlik araştırmacıları için yararlı olabilir: 2023'te Google, VRP'de bildirilen boşluklar için 632 muhabire toplam 10 milyon dolar ödedi ve 2022'de 703 bilgisayar adli tıp uzmanına 12 milyon dolar bile ödedi.
(Bilmiyorum)
Haberin Sonu
Duyuru
Bir blog yazısında “Bughunters” ekibi, o yıl Android hata ödül programı aracılığıyla 40 geçerli güvenlik açığı raporunun alındığını yazıyor. Gazetecilere toplamda neredeyse 100.000 dolar ödül getireceklerdi.
Android Bug Bounty: Yaygın Güvenlik Açıkları
Güvenlik açıklarının çoğu, izin kısıtlamalarını aşma veya hak kontrollerinin eksik olması, sözde yeniden yönlendirme (mesaj nesnelerinin yeniden yönlendirilmesi) kategorilerine giriyor. [=Intent] kötü amaçlı uygulamalarda veya saldırganlar tarafından kontrol edilen uygulama bileşenlerinde), CreatePackageContext sorunları ve paket adı yazım yanlışlığı. Ortaya çıkan güvenlik açıkları, saldırganların yerel olarak (bazı durumlarda Google tarafından geliştirilen SDK'larda bile) rastgele kod yürütmesine, bir bağlantıyı izledikten sonra rastgele kod yürütmesine veya hassas bilgileri çalmasına olanak tanıdı.
Google, amacın her zaman Google'ın Android uygulamalarındaki güvenlik açıklarını düzeltmek ve böylece kullanıcıları ve verilerini korumak olduğunu yazıyor. Bu, Google'ın uygulamalarının güvenliğini artırmasına yardımcı olan BT güvenlik araştırmacılarının sıkı çalışmaları ve katkıları dikkate alınarak yapılmalıdır. Bu tam bir başarıydı ancak en yetenekli hata raporlayıcılarından gelen geri bildirimlere dayanarak ikinci bölümü geliştirmek istiyorlar.
Mobil Güvenlik Açığı Ödül Programı: Artan Ödüller
Bir yandan Google, büyük Google uygulamalarındaki bir boşluk için ödediği tutarı artırdı: Gmail gibi 1. Kademe bir Google uygulamasındaki bir uzaktan kod yürütme boşluğu için, gazeteciler artık 30.000 ABD Doları yerine 300.000 ABD Dolarına kadar kazanabilirler. Öte yandan ilişkilerin kalitesine ve kanıtlanmış etkilere daha fazla vurgu yapılıyor. Bazı sektörlerde ödüllerin artmasıyla birlikte Google, en kötü etkiye sahip raporların yeterince ödüllendirilmesi için bilgisayar bilimcilerinin de dikkatini çekmek istiyor.
Google, güvenlik açıklarını daha kolay tespit etmenize ve daha hızlı karar vermenize olanak tanıyan daha ayrıntılı raporlar elde etmek için kaliteye dayalı bir faktör sunar. Ödenecek ödül için olağanüstü kaliteli raporlar 1,5, iyi kaliteli raporlar 1, düşük kaliteli raporlar ise 0,5 puan alır. Güncellenen Google Bug Bounty program kuralları, bu derecelendirmelerin nasıl kazanılacağına ilişkin bilgi sağlar.
Bir yıl önce Google, hata ödül programını başlattı. Yalnızca Google'ın Android uygulamaları değil aynı zamanda diğer şirketlerin uygulamaları da dahildir. Bu, siber güvenlik araştırmacıları için yararlı olabilir: 2023'te Google, VRP'de bildirilen boşluklar için 632 muhabire toplam 10 milyon dolar ödedi ve 2022'de 703 bilgisayar adli tıp uzmanına 12 milyon dolar bile ödedi.
(Bilmiyorum)
Haberin Sonu