Του Γιάννη Γορανίτη
Ένα νέο πρόγραμμα με τον πρόδηλο τίτλο Play Security Reward Program παρουσίασε πρόσφατα η Google σε μια προσπάθεια να ενισχύσει την ασφάλεια των εφαρμογών του Android οικοσυστήματος.
Αυτό που ζητάει από προγραμματιστές και (καλόπιστους) hackers, είναι να εντοπίσουν ελαττώματα ασφαλείας σε δημοφιλείς εφαρμογές Android. Πιο συγκεκριμένα τους καλεί να εντοπιστούν προβλήματα που σχετίζονται με τη δυνατότητα εκτέλεσης απομακρυσμένου κώδικα (RCE) σε apps που τρέχουν σε Android 4.4 και νεότερες εκδόσεις.
Σημαντικά κενά ασφαλείας
Έχοντας δεχθεί πολυάριθμες επικρίσεις για την ασφάλεια του app store της, η Google έχει κατ' επανάληψη προσπαθήσει να ελέγξει την ποιότητα και την πιστότητα των εφαρμογών που διαθέτουν μέσω αυτού τρίτοι κατασκευαστές. Τα αποτελέσματα όμως δεν είναι τα επιθυμητά, καθώς μέσω του Play Store έχουν διακινηθεί δεκάδες κακόβουλες εφαρμογές.
Πρόσφατα μάλιστα η εταιρεία ασφάλειας Check Point αποκάλυψε ότι το αυτοματοποιημένο σύστημα της Google απέτυχε να ανιχνεύσει 50 εφαρμογές κακόβουλου λογισμικού με περισσότερα από 4 εκατομμύρια downloads πριν αφαιρεθούν. Με αφορμή το λανσάρισμα των νέων της κινητών της σειράς Pixel επιδιώκει να πείσει για την ασφάλεια του οικοσυστήματος Android.
Πόσα δίνει η Google σε όποιον εντοπίσει ελαττώματα
Η Google προσφέρει $1.000 (~€848,50) στους ερευνητές ασφάλειας που θα χακάρουν συγκεκριμένες εφαρμογές του Play Store. Εκτός βέβαια από τον εντοπισμό των ευπαθειών, τους ζητούν να τους βοηθήσουν να τις επιδιορθώσουν.
Το πρόγραμμα εκπονήθηκε σε συνεργασία με την πλατφόρμα HackerOne για την επιβράβευση των bugs, για να ανταμείψει εκείνους που βρίσκουν, αποκαλύπτουν και βοηθούν στην επίλυση των πιο σοβαρών αδυναμιών ασφαλείας. Η Google βέβαια δεν είναι η πρώτη ούτε η τελευταία εταιρεία που εκπονεί πρόγραμμα «Bug Bounty», αφού ως γνωστό οι hackers συνήθως προηγούνται των υπευθύνων ασφαλείας. Έτσι, οι κατασκευαστές προτιμούν να ανταμείβουν τους hackers που βρίσκουν τρωτά σημεία στο λογισμικό τους, ώστε να διορθώνονται αντί να γίνονται αντικείμενα εκμετάλλευσης. Αντίστοιχο πρόγραμμα έτρεξε πρόσφατα και η Qualcomm, επίσης σε συνεργασία με τη HackerOne.
Εξάλλου, η Google έχει ξεκινήσει ήδη από το 2010 αντίστοιχο πρόγραμμα επιβράβευσης για χάκερ που εντοπίζουν τρωτά σημεία στον Chrome του. Η ανταμοιβή σε αυτή την περίπτωση είναι κατά πολύ υψηλότερη και σε ορισμένες περιπτώσεις ενδέχεται να φτάσει στα $100.000.
Ποιες εφαρμογές έχουν ενταχθεί στο πρόγραμμα
Σε πρώτη φάση έχουν εγκριθεί και ενταχθεί στο πρόγραμμα μόλις οκτώ εφαρμογές: Alibaba, Dropbox, Duolingo, Snapchat, Tinder, Headspace, Line, Mail.ru. Όπως όμως ανακοινώθηκε, η Google ήδη συνεργάζεται με περισσότερους κατασκευαστές εφαρμογών για την επέκτασή του προγράμματος.
Σπεύδουν βέβαια να διευκρινίσουν ότι για να αποδοθεί το ποσό επιβράβευσης, ο προγραμματιστής πρέπει να αποδείξει ότι η ευπάθεια που θα αποκαλύψει επιτρέπει στον δυνητικό εισβολέα να αποκτήσει τον πλήρη έλεγχο μιας συσκευής. Εξαιρούν επίσης από το πρόγραμμα ανταμοιβής άτομα που βρίσκονται στις λίστες κυρώσεων των ΗΠΑ, και πολίτες από χώρες όπως η Βόρεια Κορέα, η Κούβα, το Ιράν, το Σουδάν και η Συρία.
Περισσότερες πληροφορίες για το Play Security Reward Program στη σελίδα της Hacker One.
