Veri kötüye kullanım skandallarının ve Google Play Store’da keşfedilen çeşitli kötü amaçlı yazılım uygulamalarının ardından Google, Android uygulamalarının ve Chrome platformunda dağıtılan uzantılarının güvenliğini artırmak için zafiyet ödül programını genişletti.
Google’ın güvenlik açığı ödül programındaki genişleme, iki ana duyuru içeriyor.
İlk olarak, ‘Geliştirici Veri Koruma Ödül Programı-Developer Data Protection Reward Program’ (DDPRP) adlı yeni bir program duyuran Google, Android uygulamalarında, OAuth projelerinde ve Chrome uzantılarında veri kötüye kullanımı sorunlarına ilişkin “doğrulanabilir ve açık deliller” bulan güvenlik araştırmacılarını ve beyaz veya gri şapkalı bilgisayar korsanlarını ödüllendirecek.
İkinci olarak, Google Play Güvenlik Ödülleri Programı’nın (GPSRP) kapsamını 100 milyondan fazla yüklemeyle Google Play Store’daki tüm Android uygulamalarını içerecek şekilde genişleterek, etkilenen uygulama geliştiricilerin güvenlik açıklarını sorumlu açıklamalarla düzeltmelerine yardımcı olur.’
Kötüye Kullanan Android ve Chrome Uygulamaları Bulmak için Ödül Kazanın
Veri kötüye kullanım hata bulma programı, Facebook’un 5 Milyar $ ceza ile sonlanan , kullanıcının rızası olmadan verilerinin başka bir amaç için kullanılmasını içeren Cambridge Analytica gibi skandalları önlemek amacı ile hazırlandı.
Google blog yazısında “Verileri kötü amaçla kullanan bir uygulama veya Chrome uzantısı tespit edilirse, söz konusu uygulama veya uzantı Google Chrome Web Mağazasından kaldırılacak,” şeklinde açıklama yaptı.
“Bir uygulama geliştiricisinin Gmail kısıtlı kapsamlarına erişimi kötüye kullanması durumunda, API erişimi kaldırılacak.”
Google, DDPRP programı için henüz bir ödül tablosu açıklamamış, ancak tek bir raporla zafiyetin etkisine bağlı olarak 50.000 ABD Dolarına kadar ödül alabilmesi sağlanmıştır.
100 Milyon + İndirme Olan Tüm Android Uygulamalarında Hata Ödemesi
Öte yandan, başlangıçta 2017 yılında başlatılan GPSRP Programı, bugüne dek yalnızca Google Play Store’daki popüler Android uygulamalarındaki güvenlik açıklarını bildirmeyle sınırlıydı.
Google, en son duyuru ile birlikte, her biri en az 100 milyon indirilen yüz binlerce Android uygulama geliştiricisiyle birlikte çalışarak, güvenlik açığı raporları almalarına ve Oyun Konsollarına nasıl yama ekleyebileceklerine ilişkin talimatlar almalarına yardımcı olacak.
Google, “Bu uygulamalar, uygulama geliştiricilerinin kendi güvenlik açığı açıklamalarına veya hata ödül programlarına sahip olmasalar bile, ödül almaya hak kazanıyor” diyor.
“Geliştiricilerin zaten kendi programları varsa, araştırmacılar doğrudan Google’ın getirdiği ödüller üzerine kendilerinden ödüller toplayabilirler.”
Google’ın Uygulama Güvenliği İyileştirme-App Security Improvement (ASI) programının bir parçası olan bu mevcut girişim zaten 300.000’den fazla geliştiricinin Google Play Store’da 1.000.000’den fazla uygulamayı düzeltmesine yardımcı oldu.
Her iki önlem de artık Google’ın kötü amaçlı Android uygulamalarını ve Chrome uzantılarının kullanıcılarının verilerini kötüye kullanmasını engellemenin yanı sıra Google Play Store üzerinden dağıtılan uygulamaların güvenliğini artırmaya yardımcı olacaktır.
The Hacker News