Google Janjikan Hadiah Jumbo Bagi Penemu Kelemahan Android

Google telah meluncurkan Mobile Vulnerability Rewards Program (Mobile VRP), sebuah program bug bounty baru yang menghadiahkan uang jumbo kepada peneliti keamanan dan kelemahan di aplikasi Android perusahaan.

"Kami sangat senang mengumumkan Mobile VRP yang baru! Kami mencari para penemu bug untuk membantu kami menemukan dan memperbaiki kerentanan di aplikasi mobile kami," kicau Google VRP.

Tujuan utama di balik Mobile VRP adalah untuk mempercepat proses menemukan dan memperbaiki kelemahan pada aplikasi Android pihak pertama, yang dikembangkan atau dikelola oleh Google.

We are excited to announce the new Mobile VRP! We are looking for bughunters to help us find and fix vulnerabilities in our mobile applications. https://t.co/HDs1hnGpbH

— Google VRP (Google Bug Hunters) (@GoogleVRP) May 22, 2023

Aplikasi yang termasuk dalam cakupan Mobile VRP dikembangkan oleh sederet platform di bawah naungan Google yaitu Google LLC, Developed with Google, Research at Google, Red Hot Labs, Google Samples, Fitbit LLC, Nest Labs Inc, Waymo LLC dan Waze.

Daftar aplikasi dalam cakupan juga berisi apa yang digambarkan Google sebagai aplikasi Android "Tier 1", yang mencakup aplikasi berikut:

• Google Play Services (com.google.android.gms)

• AGSA(com.google.android.googlequicksearchbox)

• Google Chrome (com.android.chrome)

• Google Cloud (com.google.android.apps.cloudconsole)

• Gmail (com.google.android.gm)

• Chrome Remote Desktop (com.google.chromeremotedesktop)

Kerentanan yang memenuhi syarat termasuk yang memungkinkan eksekusi kode arbitrer (ACE) dan pencurian data sensitif, kelemahan yang dapat dirantai dengan kelemahan lain untuk menyebabkan dampak yang sama.

Google mengatakan mereka akan memberikan hadiah maksimal US$30.000 atau setara Rp445 juta untuk eksekusi kode jarak jauh tanpa interaksi pengguna, dan $7.500 atau setara Rp111 jutaan untuk bug yang memungkinkan pencurian data sensitif dari jarak jauh.

"Mobile VRP mengakui kontribusi dan kerja keras para peneliti yang membantu Google meningkatkan postur keamanan aplikasi Android pihak pertama kami," kata Google.

"Tujuan dari program ini adalah untuk mengurangi kerentanan pada aplikasi Android pihak pertama, dan dengan demikian menjaga pengguna dan data mereka tetap aman."

Pada Agustus 2022, perusahaan mengumumkan akan membayar peneliti keamanan untuk menemukan bug dalam versi terbaru perangkat lunak sumber terbuka Google (Google OSS), termasuk proyek-proyeknya yang paling sensitif seperti Bazel, Angular, Golang, Protocol buffer, dan Fuchsia.

Sejak meluncurkan VRP pertamanya lebih dari satu dekade yang lalu, pada tahun 2010, Google telah memberikan lebih dari US$50 juta kepada ribuan peneliti keamanan di seluruh dunia karena telah melaporkan lebih dari 15.000 kerentanan.

Pada tahun 2022, Google memberikan $12 juta, termasuk pembayaran $605,000 yang memecahkan rekor untuk rantai eksploitasi Android dari lima bug keamanan terpisah yang dilaporkan oleh gzobqq, yang merupakan pemberian hadiah tertinggi dalam sejarah VRP Android.

Dikutip dari Bleeping Computer, satu tahun sebelumnya peneliti yang sama mengirimkan rantai eksploitasi kritis lainnya di Android dan mendapatkan hadiah sebesar US$157,000.