TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
ถือเป็นโอกาสใหม่ของนักวิจัยด้านความมั่นคงปลอดภัยเพราะทาง Google ได้ประกาศโครงการ Bug Bounty ของตนให้ครอบคลุมไปถึงแอปพลิเคชันบนแอนดรอยด์ที่มียอดดาวน์โหลดมากกว่า 100 ล้านครั้งแล้ว
ย้อนรอยไปเมื่อปี 2017 ทาง Google ได้ออกโปรแกรมล่าบั๊กที่ชื่อ ‘Google Play Reward Program (GPSRP)’ ออกมาที่เน้นแอปดัง เช่น Alibaba, Dropbox, Line, Snapchat เป็นต้น โดยปัจจุบันทาง Google ได้ขยายให้ครอบคลุมไปถึงแอปพลิเคชันอื่นที่ถูกดาวน์โหลดเกิน 100 ล้านครั้ง ทั้งนี้ผู้พบช่องโหว่จะต้องเขียนรายงานอย่างชัดเจนและส่งผ่านแพลตฟอร์ม HackerOne หลังจากนั้น Google จะแจ้งเจ้าของแอปพลิเคชัน โดยหากไม่แก้ไขบั๊กในเวลาที่กำหนดจะถูกลบออกจาก Google Play
นอกจากนี้เมื่อเดือนก่อนยังมีการเพิ่มรางวัลตอบแทนสูงสุดให้ช่องโหว่ประเภท Remote Code Execution จาก 5,000 สู่ 20,000 ดอลล่าร์สหรัฐฯ และช่องโหว่ที่นำไปสู่การขโมยข้อมูลหรือเข้าถึงส่วนประกอบที่ถูกป้องกันจาก 1,000 เป็น 3,000 ดอลล่าร์สหรัฐฯ สำหรับบั๊กที่ถูกรายงานเข้ามานั้นไม่ได้หายไปไหนเพราะ Google จะใส่เข้าไปในระบบที่ชื่อ App Security Improvement (ASI) ไว้คอยแสกนแอปบน Google Play ซึ่งทาง Google ชี้ว่าช่วยแก้ไขช่องโหว่ไปมากกว่า 1,000,000 แอปพลิเคชันแล้ว
อย่างไรก็ตามในวาระเดียวกันนี้ Google ยังได้ประกาศโครงการ Bug Bounty ใหม่ที่ชื่อ ‘Developer Data Protection Reward Program (DDPRP)’ ที่เปิดให้นักวิจัยรายงานของโหว่ของแอป Third-party, แอปบนแอนดรอย์ และ Chrome Extension ที่ใช้ API ในด้านไม่ดี เช่น การขโมยข้อมูล เป็นต้น แต่นักวิจัยต้องสามารถชี้แจงหลักฐานและรายงานได้อย่างชัดเจนด้วย
ที่มา : https://www.zdnet.com/article/google-adds-all-android-apps-with-100m-installs-to-its-bug-bounty-program/ และ https://www.zdnet.com/article/google-launches-bounty-program-to-spot-misuses-of-google-api-chrome-and-android-user-data/
