Google ขยายโครงการ Bug Bounty ให้แอปแอนดรอยด์ที่มียอดดาวน์โหลดมากกว่า 100 ล้านครั้ง

ถือเป็นโอกาสใหม่ของนักวิจัยด้านความมั่นคงปลอดภัยเพราะทาง Google ได้ประกาศโครงการ Bug Bounty ของตนให้ครอบคลุมไปถึงแอปพลิเคชันบนแอนดรอยด์ที่มียอดดาวน์โหลดมากกว่า 100 ล้านครั้งแล้ว

Credit: Nicescene/ShutterStock

ย้อนรอยไปเมื่อปี 2017 ทาง Google ได้ออกโปรแกรมล่าบั๊กที่ชื่อ ‘Google Play Reward Program (GPSRP)’ ออกมาที่เน้นแอปดัง เช่น Alibaba, Dropbox, Line, Snapchat เป็นต้น โดยปัจจุบันทาง Google ได้ขยายให้ครอบคลุมไปถึงแอปพลิเคชันอื่นที่ถูกดาวน์โหลดเกิน 100 ล้านครั้ง ทั้งนี้ผู้พบช่องโหว่จะต้องเขียนรายงานอย่างชัดเจนและส่งผ่านแพลตฟอร์ม HackerOne หลังจากนั้น Google จะแจ้งเจ้าของแอปพลิเคชัน โดยหากไม่แก้ไขบั๊กในเวลาที่กำหนดจะถูกลบออกจาก Google Play 

นอกจากนี้เมื่อเดือนก่อนยังมีการเพิ่มรางวัลตอบแทนสูงสุดให้ช่องโหว่ประเภท Remote Code Execution จาก 5,000 สู่ 20,000 ดอลล่าร์สหรัฐฯ และช่องโหว่ที่นำไปสู่การขโมยข้อมูลหรือเข้าถึงส่วนประกอบที่ถูกป้องกันจาก 1,000 เป็น 3,000 ดอลล่าร์สหรัฐฯ สำหรับบั๊กที่ถูกรายงานเข้ามานั้นไม่ได้หายไปไหนเพราะ Google จะใส่เข้าไปในระบบที่ชื่อ App Security Improvement (ASI) ไว้คอยแสกนแอปบน Google Play ซึ่งทาง Google ชี้ว่าช่วยแก้ไขช่องโหว่ไปมากกว่า 1,000,000 แอปพลิเคชันแล้ว

อย่างไรก็ตามในวาระเดียวกันนี้ Google ยังได้ประกาศโครงการ Bug Bounty ใหม่ที่ชื่อ ‘Developer Data Protection Reward Program (DDPRP)’ ที่เปิดให้นักวิจัยรายงานของโหว่ของแอป Third-party, แอปบนแอนดรอย์ และ Chrome Extension ที่ใช้ API ในด้านไม่ดี เช่น การขโมยข้อมูล เป็นต้น แต่นักวิจัยต้องสามารถชี้แจงหลักฐานและรายงานได้อย่างชัดเจนด้วย

ที่มา :  https://www.zdnet.com/article/google-adds-all-android-apps-with-100m-installs-to-its-bug-bounty-program/ และ  https://www.zdnet.com/article/google-launches-bounty-program-to-spot-misuses-of-google-api-chrome-and-android-user-data/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Tanium ร่วมกับ Microsoft Intelligent Security Association เพื่อเสริมความแข็งแกร่งให้กับความปลอดภัยด้านไอที

Microsoft และ Tanium จะเปลี่ยนอนาคตของการรักษาความปลอดภัยและการดำเนินงานด้านไอทีสำหรับองค์กร

Apple แก้ไข 2 ช่องโหว่ Zero-day ใน iPhone และ Macs แนะเร่งอัปเดตหลังถูกใช้โจมตีแล้ว

ช่องโหว่ Zero-days ที่ได้รับการแก้ไขจาก Apple เป็นการวิ่งตามโค้ดสาธิตที่แพร่สะพัดหรือแฮ็กเกอร์ที่นำไปใช้โจมตีเป้าหมายอย่างเจาะจง