Hata ödül programları, bazen bir kuruluşun ürünlerindeki güvenlik açıklarını belirlemek ve düzeltmek için harici güvenlik araştırmacılarıyla çalışma isteği hakkında, teknolojilerini hedef alan potansiyel saldırılara maruz kalma olasılığı hakkında olduğu kadar çok şey söyleyebilir.
Bu önlemle, Google’ın Android, Chrome ve Play platformları, kötü aktörlerin hedef alması için güvenlik açığı açısından zengin ortamlar olmaya devam ediyor. Geçen yıl Google, şirketin teknolojilerindeki binlerce güvenlik açığını keşfeden ve bildiren 62 ülkeden 696 üçüncü taraf hata avcısına rekor düzeyde 8,7 milyon dolarlık ödül ödedi.
Bu miktar, 2020’de Google’ın hata avcılarına ödediği 6,7 milyon dolarlık ödüle göre yaklaşık %30’luk bir artışı temsil ediyordu. Artışın bir kısmı, belirli türdeki hata keşifleri için daha yüksek ödemelerle ilgiliydi. Ancak, araştırmacıların Google’ın bazı temel teknolojilerinde ortaya çıkarmaya devam ettikleri nispeten yüksek sayıda kusurla da ilgisi vardı.
Diğer Chrome Güvenlik Açıkları
Chrome bir örnektir. 2021’de Google’ın güvenlik açığı ödül programına katılan hata avcıları, 2020’de açıklanan 300 Chrome hatasından yaklaşık %10 daha fazla olmak üzere toplam 333 benzersiz Chrome güvenlik hatası bildirdi. 2021’de şirkete Chrome güvenlik açıklarını bildirdi. Bu, bir önceki yılki 2,1 milyon dolarlık ödülle karşılaştırıldığında, 2019’dan %83 daha yüksekti. Chrome ödemelerinin çoğu (3,1 milyon dolar), Chrome tarayıcısında güvenlik hataları bildiren araştırmacılara gitti. Google, Chrome OS’deki hatalar için 250.000 ABD Doları ödedi; buna, bir ayrıcalık yükseltme hatası için 45.000 ABD Doları tutarındaki en büyük ödül de dahildir.
Google’ın Android işletim sistemi de hedef açısından zengin olmaya devam etti. Geçen yıl şirket, Android kusurlarını bildiren böcek avcılarına 3 milyon dolar ödedi ve bu, bir önceki yılki 1,7 milyon dolardan neredeyse iki katına çıktı. Android güvenlik açığı ödül programındaki önde gelen iki hata avcısı, 2021’de Google’a şaşırtıcı 360 geçerli güvenlik açığı bildirdi. Bunlardan biri, araştırmacı Aman Pandey 232 güvenlik açığı gönderirken, diğeri Yu-Cheng Lin 128 hata bildirdi. Google ayrıca, 2021’de bir Android güvenlik açığı için şimdiye kadarki en yüksek ödemeyi yaptı – teknolojide kritik bir istismar keşfeden bir araştırmacıya 157.000 dolar
Google Play’deki güvenlik açıklarını bildiren hata avcılarına Google’ın ödediği ödül parası da 2020’de 270.000 dolardan 2021’de 550.000 dolara iki katına çıktı.
2021’de Google, bir kamu araştırmacı portalı Chrome, Android, Play için olanlar da dahil olmak üzere, şirketin tüm güvenlik açığı ödül programlarını bir araya getiren. Portal, şirkete göre hata bildirimlerini kolaylaştırmak ve programa katılan araştırmacılara birbirleriyle etkileşim kurmaları için daha fazla fırsat vermek için tasarlandı.
Proje Sıfır
O esnada, Google’dan yeni verileryine bu hafta yayınlanan, şirketin Project Zero ekibiyle birlikte böcek avcılarının 2019 ve 2021 yılları arasında çeşitli diğer satıcılara ait teknolojilerde 376 güvenlik sorunu keşfettiğini ve bildirdiğini gösterdi.
Şirketin analizi, hataların 351’inin düzeltildiğini, kalanların ise ilgili satıcıların düzeltmeyeceği sorunlar olarak işaretlendiğini gösterdi. Project Zero ekibinin 2019 ile 2021 arasında keşfettiği toplam güvenlik açıklarının %26’sı veya doksan altı hata Microsoft teknolojilerini içeriyordu, 85’i Apple ile ilgiliydi ve 60’ı Google teknolojileriyle bağlantılıydı. Bu satıcılar arasında, açıklanan güvenlik açıklarını en hızlı şekilde ele alan Google oldu. Ortalama olarak, şirketin bir kusuru düzeltmesi 44 gün sürerken, bu süre Apple için 69 gün ve Microsoft için 83 gün sürdü.