دروازه اخبار دیجیتال و فن آوری

جایزه شناسایی باگ‌ها

پرداخت بیشترین جایزه شناسایی باگ‌ها در طول تاریخ اندروید گوگل

eonline724.ir

جایزه شناسایی باگ‌ها

در این مطلب از دروازه  در مورد جایزه شناسایی باگ‌ها گفته می شود که
شرکت گوگل اخیرا  مبلغ ۱۱۲,۵۰۰ دلار را به یک کارشناس امنیتی  در جهت شناسایی یک رخنه حیاتی در اسمارت‌فون‌های گوگل پیکسل  را پرداخته است.

 

این در حالی است که این آسیب‌پذیری در زنجیره اکسپلویت‌ها و باگ‌هایی  وجود دارد که
به شماره CVE-2017-5116 و CVE-2017-14904  از قبل شناسایی شده بودند.

گفتنی است که به صورت تقریبی تمامی شرکت‌های در حال کار برای ارائه فناوری برنامه‌ای تحت عنوان جایزه در مقابل باگ را عرضه می کنند.
همچنین کمپانی گوگل به‌ صورت معمول آماده است تا مبلغ ۲۰۰ هزار دلار را جهت شناسایی یک باگ خیلی مهم در سیستم‌عامل اندروید بپردازد.
ولی  اخیرا این ابرشرکت جست‌وجوی اینترنتی مبلغ ۱۱۲۵۰۰ هزار دلار را جریان افتتاح برنامه جایزه امنیتی اندروید
(Android Security Rewards) به گوانگ گانگ کارشناس امنیتی شرکت Qihoo 360 پرداخت کرده است.

این در حالی است که این کارشناساس توانسته اند تا یک اکسپلویت خطرناک را شناسایی کند.
با این وجود این اکسپلویت نه فقط اسمارت‌فون‌های پیکسل بلکه خود سیستم‌عامل اندروید را هم در معرض خطر قرار می‌دهد.

جایزه شناسایی باگ‌ها

این اکسپلویت در ارتباط با دو باگ مجزا از هم است که هر دو باگ‌ در ترکیب با یکدیگر به یک هکر اجازه می‌دهند از راه دور حمله تزریق کد به درون اسمارت‌فون‌های پیکسل و پردازه system_server در سیستم‌عامل اندروید را با موفقیت به مرحله اجرا در آورد.
بنابراین بعد از آن‌که کاربری روی یک آدرس اینترنتی مخرب در مرورگر کروم کلیک می‌کند ،
هکرها می‌توانند کنترل کامل دستگاه را به دست آورده و بدافزار مخرب یا جاسوس‌افزارها را به درون گوشی کاربر تزریق کرده
و به این شکل فرآیند شنود و ردیابی فعالیت‌های کاربر را به شکل غیرقابل شناسایی به مرحله اجرا در آورند.

شایان ذکر است که این باگ‌ها تا حدی خطرناک بودند که امکان خروج از مکانیزم جعبه‌ شنی در مرورگر کروم را  ممکن می کردند.
آقای گوانگ مبلغ ۱۰۵ هزار دلار بابت شناسایی و مبلغ ۷۵۰۰ دلار بابت گزارش این آسیب‌پذیری از گوگل پاداش دریافت کرده است.
شرکت گوگل  بر این باور است که این :

بالاترین جایزه‌ای بوده است که در طول تاریخ اندروید به یک کارشناس امنیتی
در قالب برنامه جایزه در مقابل باگ پرداخت کرده است.

همچنین گوگل در ماه مارس یک به‌روزرسانی امنیتی برای ترمیم آسیب‌پذیری فوق  هم عرضه کرده بود.