أطلقت شركة جوجل يوم الاثنين (برنامج مكافآت الثغرات الأمنية للأجهزة المحمولة) Mobile VRP الجديد الذي يمنح مبالغ مالية لمن يعثر على الثغرات في تطبيقات أندرويد الخاصة بالشركة.
ونشر حساب جوجل الخاص ببرنامج مكافآت الثغرات الأمنية، Google VRP، تغريدة قال فيها: «نحن متحمسون للإعلان عن Mobile VRP الجديد! نحن نبحث عن صائدي الثغرات لمساعدتنا في العثور على الثغرات الأمنية في تطبيقاتنا المحمولة وإصلاحها».
وأوضحت عملاقة التقنية الأمريكية أن Mobile VRP يهدف في المقام الأول إلى تسريع عملية العثور على الثغرات الأمنية وإصلاحها في تطبيقات أندرويد التي طورتها جوجل أو تُطوَّر بالتعاون معها.
ويغطي برنامج Mobile VRP التطبيقات التي طورتها جوجل، أو طُوِّرت بالتعاون مع جوجل، أو طورتها مختبرات (رد هوت لابز) Red Hot Labs، أو طورتها الشركات التابعة لجوجل، مثل: شركة الأجهزة القابلة للارتداء (فيتبيت) Fitbit، أو شركة أجهزة إنترنت الأشياء (نست لابز) Nest Labs، أو شركة السيارات الذاتية القيادة (وايمو) Waymo، أو شركة خدمات الخرائط (ويز) Waze.
وأوضحت جوجل أنها سوف تمنح المكافآت فقط مقابل الثغرات الأمنية التي تسمح بالتنفيذ التعسفي للتعليمات البرمجية من بُعد وبسرقة البيانات الحساسة، بالإضافة إلى الثغرات الأمنية التي يمكن ربطها بثغرات أخرى قد تؤدي إلى تأثير مماثل.
وتقول جوجل إن الحد الأقصى للمكافآت سيكون 30 ألف دولار أمريكي لثغرات تنفيذ التعليمات البرمجية من بُعد دون تدخل المستخدم، وسيكون 7,500 دولار أمريكي للثغرات التي تسمح بسرقة البيانات الحساسة من بُعد.
وقالت جوجل: «يُقدِّر برنامج Mobile VRP المساهمات والعمل الجاد للباحثين الذين يساعدون جوجل في تحسين الوضع الأمني لتطبيقات أندرويد الخاصة بنا».
وأضافت الشركة: «الهدف من البرنامج هو التخفيف من الثغرات الأمنية في تطبيقات أندرويد الخاصة بنا، وهذا يؤدي إلى الحفاظ على أمان المستخدمين وبياناتهم».
وفي شهر آب/ أغسطس 2022، أعلنت الشركة أنها ستدفع للباحثين الأمنيين للعثور على الثغرات الأمنية في الإصدارات الأحدث من برنامج جوجل المفتوح المصدر Google OSS، ومن ذلك أكثر مشاريعها حساسية، مثل:
- (بيزل) Bazel: الأداة البرمجية المجانية والمفتوحة المصدر التي تُستخدم لأتمتة بناء البرامج واختبارها.
- (أنجيولر) Angular: إطار العمل المجاني والمفتوح المصدر لتطبيقات الويب القائم على (تايب سكريبت) TypeScript.
- (جولانج) Golang: لغة البرمجة العالية المستوى.
- (بروتوكول بفرز) Protocol Buffers: تنسيق البيانات المجاني والمفتوح المصدر الذي يعمل عبر المنصات ويستخدم لتسلسل البيانات المُهيكلة.
- (فوشيا) Fuchsia: نظام التشغيل المفتوح المصدر الذي تعمل جوجل على تطويره.
ومنذ إطلاق أول برنامج لمكافآت الثغرات الأمنية منذ أكثر من عقد، منحت جوجل أكثر من 50 مليون دولار لآلاف الباحثين الأمنيين في جميع أنحاء العالم لإبلاغهم عن أكثر من 15,000 ثغرة أمنية.
وفي عام 2022، منحت الشركة 12 مليون دولار، ومن ذلك: مبلغ قياسي قدره 605 آلاف دولار أمريكي مقابل سلسلة استغلال لنظام أندرويد مكونة من خمس ثغرات أمنية منفصلة أبلغ عنها الباحث الأمني gzobqq، وهي المكافأة العليا في تاريخ برنامج مكافآت الثغرات الأمنية لنظام أندرويد Android VRP.
وفي عام 2021، اكتشف الباحث نفسه وأبلغ عن سلسلة استغلال لثغرات حرجة أخرى في نظام أندرويد، وقد حصل على 157,000 دولار أمريكي، وهي أعلى مكافأة في برنامج مكافآت الثغرات الأمنية لنظام أندرويد وقتئذ.
وعادةً ما تصل قيمة مكافأة الثغرات الأمنية في نظام أندرويد المقدمة من خلال برنامج مكافآت الثغرات الأمنية إلى 10,000 دولار أمريكي، ولكن بالنسبة لسلاسل الاستغلال، فإن الشركة تدفع ما يصل إلى مليون دولار.