گوگل در سال ۲۰۱۵ برنامه‌ای با نام جایزه امنیتی اندروید یا Android Security Rewards افتتاح کرد.

در برنامه‌ی ASR به محققینی که بتوانند آسیب پذیری‌های

موجود در اندروید را به اطلاع کمپانی یاد شده برسانند جایزه نقدی اهدا خواهد شد.

مقدار این جایزه‌ی نقدی با توجه به شدت و اهمیت تهدید امنیتی یافته شده متغیر است

اما این آسیب پذیر‌ی‌ها باید تنها در تلفن‌های پیکسل و تبلت‌های اندرویدی یافت شود.

خرداد‌ماه امسال این شرکت آمریکایی نرخ‌های جوایز برنامه‌ی ASR

خود را بالا برد و ادعا کرد که به قدری تمهیدات امنیتی جدی در نسخه‌های جدید اندروید

و به‌روز‌رسانی‌های اخیر در نظر گرفته شده که طی دو سال گذشته

کسی نتوانسته زنجیره‌ی آسیب پذیری خطرناکی را در آنها بیابد

اما چندی پیش این کمپانی اعتراف کرد

که اولین زنجیره‌ی آسیب پذیری خطرناک پس از آپدیت‌های جدید پیدا شده است.

جایزه ۱۱۲ هزار دلاری گوگل به محققی با نام «گوانگ گانگ» اهدا شد

که در شرکت امنیتی چینی Qihoo 360 Technology مشغول به کار بود.

این جایزه به دلیل پیدا کردن دو مشکل و ارسال آنها در مرداد ماه به وی اختصاص یافت.

او باگ CVE-2017-5116 را یافت که به کاربران اجازه می داد از راه دور کد دلخواه HTML

خود را در سندباکس مرورگر کروم وارد کنند و باگ دوم با نام CVE-2017-5116

را نیز پیدا کرد که می‌توانست خروج از سندباکس مرورگر را ممکن سازد.

 

هکر‌ها می‌توانستند در صورت استفاده‌ی ترکیبی از این دو آسیب پذیری کد‌های دلخواه

خود را به پروسه‌ی سرور سیستم پیکسل وارد کنند.

تنها کافی بود که کاربر از همه جا بی‌خبر یک URL مخرب در نرم‌افزار کروم را فعال کرده تا بدین روش مورد حمله قرار گیرد.

گوگل تایید نمود که محقق چینی موفق شده بالاترین جایزه‌ی برنامه‌ی ASR

را به ملبغ ۱۰۵ هزار دلار دریافت کرده و علاوه بر آن ۷ هزار و پانصد دلار

نیز از برنامه‌ی Chrome Rewards به خود اختصاص دهد.

پاداش این برنامه در سال ۲۰۱۰ به افرادی تعلق می‌گرفت

که موفق می‌شدند آسیب‌پذیری‌های امینتی در سیستم عامل کروم بیابند.

البته گوگل پس از بروز‌رسانی آذرماه و برطرف کردن این مشکلات،

جزییات آسیب پذیری‌های یاد شده را منتشر کرده است.

 

دیدگاه خود را ارسال کنید...