گوگل ۱۱۲ هزار دلار به کاشف زنجیره‌ی آسیب پذیری اندروید جایزه داد

گوگل در سال 2015 برنامه‌ای با نام جایزه امنیتی اندروید یا Android Security Rewards افتتاح کرد. در برنامه‌ی ASR به محققینی که بتوانند آسیب پذیری‌های موجود در اندروید را به اطلاع کمپانی یاد شده برسانند جایزه نقدی اهدا خواهد شد.

مقدار این جایزه‌ی نقدی با توجه به شدت و اهمیت تهدید امنیتی یافته شده متغیر است اما این آسیب پذیر‌ی‌ها باید تنها در تلفن‌های پیکسل و تبلت‌های اندرویدی یافت شود.

خرداد‌ماه امسال این شرکت آمریکایی نرخ‌های جوایز برنامه‌ی ASR خود را بالا برد و ادعا کرد که به قدری تمهیدات امنیتی جدی در نسخه‌های جدید اندروید و به‌روز‌رسانی‌های اخیر در نظر گرفته شده که طی دو سال گذشته کسی نتوانسته زنجیره‌ی آسیب پذیری خطرناکی را در آنها بیابد اما چندی پیش این کمپانی اعتراف کرد که اولین زنجیره‌ی آسیب پذیری خطرناک پس از آپدیت‌های جدید پیدا شده است.

جایزه 112 هزار دلاری گوگل به محققی با نام «گوانگ گانگ» اهدا شد که در شرکت امنیتی چینی Qihoo 360 Technology مشغول به کار بود. این جایزه به دلیل پیدا کردن دو مشکل و ارسال آنها در مرداد ماه به وی اختصاص یافت. او باگ CVE-2017-5116 را یافت که به کاربران اجازه می داد از راه دور کد دلخواه HTML خود را در سندباکس مرورگر کروم وارد کنند و باگ دوم با نام  CVE-2017-5116 را نیز پیدا کرد که می‌توانست خروج از سندباکس مرورگر را ممکن سازد.

هکر‌ها می‌توانستند در صورت استفاده‌ی ترکیبی از این دو آسیب پذیری کد‌های دلخواه خود را به پروسه‌ی سرور سیستم پیکسل وارد کنند. تنها کافی بود که کاربر از همه جا بی‌خبر یک URL مخرب در نرم‌افزار کروم را فعال کرده تا بدین روش مورد حمله قرار گیرد.

گوگل تایید نمود که محقق چینی موفق شده بالاترین جایزه‌ی برنامه‌ی ASR را به ملبغ 105 هزار دلار دریافت کرده و علاوه بر آن 7 هزار و پانصد دلار نیز از برنامه‌ی Chrome Rewards به خود اختصاص دهد. پاداش این برنامه در سال 2010 به افرادی تعلق می‌گرفت که موفق می‌شدند آسیب‌پذیری‌های امینتی در سیستم عامل کروم بیابند.

البته گوگل پس از بروز‌رسانی آذرماه و برطرف کردن این مشکلات، جزییات آسیب پذیری‌های یاد شده را منتشر کرده است.