Google ขยายโครงการ Bug Bounty ให้แอปแอนดรอยด์ที่มียอดดาวน์โหลดมากกว่า 100 ล้านครั้ง

ถือเป็นโอกาสใหม่ของนักวิจัยด้านความมั่นคงปลอดภัยเพราะทาง Google ได้ประกาศโครงการ Bug Bounty ของตนให้ครอบคลุมไปถึงแอปพลิเคชันบนแอนดรอยด์ที่มียอดดาวน์โหลดมากกว่า 100 ล้านครั้งแล้ว

Credit: Nicescene/ShutterStock

ย้อนรอยไปเมื่อปี 2017 ทาง Google ได้ออกโปรแกรมล่าบั๊กที่ชื่อ ‘Google Play Reward Program (GPSRP)’ ออกมาที่เน้นแอปดัง เช่น Alibaba, Dropbox, Line, Snapchat เป็นต้น โดยปัจจุบันทาง Google ได้ขยายให้ครอบคลุมไปถึงแอปพลิเคชันอื่นที่ถูกดาวน์โหลดเกิน 100 ล้านครั้ง ทั้งนี้ผู้พบช่องโหว่จะต้องเขียนรายงานอย่างชัดเจนและส่งผ่านแพลตฟอร์ม HackerOne หลังจากนั้น Google จะแจ้งเจ้าของแอปพลิเคชัน โดยหากไม่แก้ไขบั๊กในเวลาที่กำหนดจะถูกลบออกจาก Google Play 

นอกจากนี้เมื่อเดือนก่อนยังมีการเพิ่มรางวัลตอบแทนสูงสุดให้ช่องโหว่ประเภท Remote Code Execution จาก 5,000 สู่ 20,000 ดอลล่าร์สหรัฐฯ และช่องโหว่ที่นำไปสู่การขโมยข้อมูลหรือเข้าถึงส่วนประกอบที่ถูกป้องกันจาก 1,000 เป็น 3,000 ดอลล่าร์สหรัฐฯ สำหรับบั๊กที่ถูกรายงานเข้ามานั้นไม่ได้หายไปไหนเพราะ Google จะใส่เข้าไปในระบบที่ชื่อ App Security Improvement (ASI) ไว้คอยแสกนแอปบน Google Play ซึ่งทาง Google ชี้ว่าช่วยแก้ไขช่องโหว่ไปมากกว่า 1,000,000 แอปพลิเคชันแล้ว

อย่างไรก็ตามในวาระเดียวกันนี้ Google ยังได้ประกาศโครงการ Bug Bounty ใหม่ที่ชื่อ ‘Developer Data Protection Reward Program (DDPRP)’ ที่เปิดให้นักวิจัยรายงานของโหว่ของแอป Third-party, แอปบนแอนดรอย์ และ Chrome Extension ที่ใช้ API ในด้านไม่ดี เช่น การขโมยข้อมูล เป็นต้น แต่นักวิจัยต้องสามารถชี้แจงหลักฐานและรายงานได้อย่างชัดเจนด้วย

ที่มา :  https://www.zdnet.com/article/google-adds-all-android-apps-with-100m-installs-to-its-bug-bounty-program/ และ  https://www.zdnet.com/article/google-launches-bounty-program-to-spot-misuses-of-google-api-chrome-and-android-user-data/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

[Video Webinar] HTTP/3, How Cloudflare Help to Make the Internet Better โดย Cloudflare APAC

สำหรับผู้ที่ไม่ได้เข้าชมการบรรยาย TechTalk Webinar เรื่อง “HTTP/3, How Cloudflare Help to Make the Internet Better” เพื่อรู้จักกับแนวคิดและการทำงานของ HTTP/3 …

Microsoft เผย 3 เทคนิค Phishing อันแนบเนียนที่ควรพึงระวัง

Microsoft ได้ออกรายงานแนวโน้มภัยคุกคามและความมั่นคงปลอดภัยไซเบอร์ที่เกิดขึ้นในปี 2019 ระบุว่า Phishing เป็นหนึ่งใในไม่กี่รูปแบบการโจมตีที่ยังคงพบบ่อยมากขึ้นในช่วง 2 ปีที่ผ่านมานี้ ในขณะที่ Ransomware, Crypto-mining และมัลแวร์รูปแบบอื่นๆ เริ่มพบน้อยลง