گوگل در سال ۲۰۱۵ برنامهای با نام جایزه امنیتی اندروید
یا Android Security Rewards افتتاح کرد.
در برنامهی ASR به محققینی که بتوانند آسیب پذیریهای
موجود در اندروید را به اطلاع کمپانی یاد شده برسانند جایزه نقدی اهدا خواهد شد.
مقدار این جایزهی نقدی با توجه به شدت و اهمیت تهدید امنیتی یافته شده متغیر است
اما این آسیب پذیریها باید تنها در تلفنهای پیکسل و تبلتهای اندرویدی یافت شود.
خردادماه امسال این شرکت آمریکایی نرخهای جوایز برنامهی ASR
خود را بالا برد و ادعا کرد که به قدری تمهیدات امنیتی جدی در نسخههای جدید اندروید
و بهروزرسانیهای اخیر در نظر گرفته شده که طی دو سال گذشته
کسی نتوانسته زنجیرهی آسیب پذیری خطرناکی را در آنها بیابد
اما چندی پیش این کمپانی اعتراف کرد
که اولین زنجیرهی آسیب پذیری خطرناک پس از آپدیتهای جدید پیدا شده است.
جایزه ۱۱۲ هزار دلاری گوگل به محققی با نام «گوانگ گانگ» اهدا شد
که در شرکت امنیتی چینی Qihoo 360 Technology مشغول به کار بود.
این جایزه به دلیل پیدا کردن دو مشکل و ارسال آنها در مرداد ماه به وی اختصاص یافت.
او باگ CVE-2017-5116 را یافت که به کاربران اجازه می داد از راه دور کد دلخواه HTML
خود را در سندباکس مرورگر کروم وارد کنند و باگ دوم با نام CVE-2017-5116
را نیز پیدا کرد که میتوانست خروج از سندباکس مرورگر را ممکن سازد.
هکرها میتوانستند در صورت استفادهی ترکیبی از این دو آسیب پذیری کدهای دلخواه
خود را به پروسهی سرور سیستم پیکسل وارد کنند.
تنها کافی بود که کاربر از همه جا بیخبر یک URL مخرب در نرمافزار کروم را فعال کرده تا بدین روش مورد حمله قرار گیرد.
گوگل تایید نمود که محقق چینی موفق شده بالاترین جایزهی برنامهی ASR
را به ملبغ ۱۰۵ هزار دلار دریافت کرده و علاوه بر آن ۷ هزار و پانصد دلار
نیز از برنامهی Chrome Rewards به خود اختصاص دهد.
پاداش این برنامه در سال ۲۰۱۰ به افرادی تعلق میگرفت
که موفق میشدند آسیبپذیریهای امینتی در سیستم عامل کروم بیابند.
البته گوگل پس از بروزرسانی آذرماه و برطرف کردن این مشکلات،
جزییات آسیب پذیریهای یاد شده را منتشر کرده است.
منبع:neowin
مجید مرادی