Google Play phát hành chương trình Bounty nhằm bảo vệ các ứng dụng phổ biến trên Android

Cuối cùng thì Google cũng đã phát hành 1 chương trình nhằm khắc phục lỗi dành riêng cho các ứng dụng Android phổ biến trên chợ ứng dụng Google Play Store của chính họ. Quyết định này dựa trên việc Google đã làm việc với một số chuyên gia về an ninh mạng để tìm và xác định rõ các lỗ hổng dựa trên một số ứng dụng Android phổ biến nhất.

Chương trình Bug Bounty cho phép các chuyên gia nghiên cứu về an ninh mạng làm việc trực tiếp với các nhà phát triển ứng dụng Android từ đó nhằm tìm kiếm và khắc phục các lỗ hổng phát sinh trên chính ứng dụng của họ. Phần thưởng từ chương trình này lên tới $1000 USD.

“Mục tiêu của chương trình nhằm giúp nâng cao hơn nữa tính năng bảo mật trên ứng dụng. Điều này sẽ mang lại lợi ích cho cả 3 bên trong đó có: Nhà phát triển, Người sử dụng ứng dụng và toàn bộ hệ sinh thái Google Play.”

XEM THÊM: Bật tính năng “Bảo vệ nâng cao” mới của google nếu bạn không muốn bị tấn công. 

Google đã cùng hợp tác với 1 đơn vị chuyên về nền tảng Bug Bounty tên gọi là HackerOne. HackerOne giúp Google quản lý nền tảng bên dưới (backend) của chương trình như việc gửi báo cáo và liên hệ tới các nhà nghiên cứu và hacker mũ trắng.

Những Hacker mũ trắng muốn tham gia chương trình này có thể gửi trực tiếp phát hiện của họ tới các nhà phát triển ứng dụng. Một khi lỗ hổng bảo mật được giải quyết, hacker cần gửi báo cáo lỗi của họ cho HackerOne.

Google sẽ trao tặng phần thưởng cao nhất lên tới $1000 USD dựa trên mức độ nguy hiểm của lỗ hổng. Cũng theo Google, họ sẽ luôn cập nhật những tiêu chí để được trao thưởng, và điều này sẽ mở ra cơ hội cho các Hacker trong tương lai.

Theo HackerOne: “Tất cả các lỗ hổng phải được báo cáo trực tiếp tới nhà phát triển trước tiên. Duy nhất chỉ gửi tới chương trình “Google Play Security” khi lỗ hổng đã được nhà phát triển giải quyết ổn thỏa.”

“Hiện tại, phạm vi của chương trình này mới chỉ giới hạn trong các lỗ hổng dạng RCE (Remote-code-execution: Đây là các lỗ hổng cho phép thực thi mã lệnh từ xa) và các POC khai thác tương ứng, các lỗ hổng này phải có khả năng hoạt động trên các thiết bị Android từ phiên bản 4.4 trở lên.”. Hơn nữa, chỉ một số lượng giới hạn các ứng dụng Android đã được thêm vào chương trình “Google Play Security” và đều là các chương trình có nhiều người sử dụng như Alibaba, Snapchat, Duolingo, Line, Dropbox, Headspace, Mail.ru và Tinder.

Mặc dù Google đã nỗ lực rất nhiều nhằm ngăn chặn các ứng dụng độc hại nhưng chúng vẫn thường xuyên qua mặt cơ chế bảo mật của Google và lây nhiễm tới hàng triệu người dùng Android. Điều đáng chú ý hơn là chương trình này không bao gồm việc tìm kiếm và báo cáo các ứng dụng giả mạo, phần mềm độc hại có sẵn trên chợ ứng dụng Google Play.

Do đó, các chuyên gia của SecurityBox nhận định chương trình này sẽ chỉ tập trung xác định lỗ hổng của một số ứng dụng cụ thể chứ không ảnh hưởng quá lớn đến số lượng ứng dụng mã độc đã, đang và sẽ tồn tại trên chợ ứng dụng CH Play.

XEM NHIỀU NHẤT: Mã độc tống tiền mang tên “Bad Rabbit” đang lây lan hết sức mạnh mẽ