یکی از روشهایی که گوگل معتقده محصولاتش رو امن میکنه ، برنامه پاداش آسیب پذیریش (VRP) هستش، که در اون محققین تشویق میشن تا آسیب پذیری هارو در سیستم عاملها و دستگاههای گوگل کشف و گزارش کنن.
گوگل اعلام کرده که در حال پیاده سازی سیستم رتبه بندی کیفی گزارشات آسیب پذیری هستش تا بتونه محققین امنیت بیشتری رو برای کشف آسیب پذیری تشویق کنه و امنیت کاربراش رو تضمین کنه.
این سیستم جدید، گزارشات براساس جزییات ارائه شده ، به کیفیت بالا، متوسط و پایین رتبه بندی میکنه. گوگل گفته این سیستم جدید باعث میشه محققین گزارشات دقیقتری بنویسن، بنابراین هم ما میتونیم آسیب پذیری ها رو سریعتر اصلاح کنیم و هم محققین پاداش بیشتری دریافت میکنن. گوگل الان برای گزارشات با کیفیت بالا و آسیب پذیری حیاتی تا 15000 دلار بانتی میده.
گزارشاتی که برای گوگل ارسال میکنید، در زمان نگارش این پست، باید شرایط زیر رو داشته باشه :
- توضیحات دقیق و با جزییات کامل : گزارشات باید بطور واضح و دقیق، آسیب پذیری ، از جمله نام دستگاه و نسخه آسیب پذیر رو، شرح بدن. توضیحات باید به اندازه کافی دقیق باشن تا بشه آسیب پذیری رو درک و سریعتر اصلاحش کرد.
- علت اصلی آسیب پذیری: گزارشات باید شامل تحلیل علت اصلی آسیب پذیری باشه از جمله اینکه چرا آسیب پذیری رخ میده و چه سورس کدی از اندروید باید برای حل اون اصلاح بشه. این تحلیل باید کامل باشه و اطلاعات کافی برای درک علت اون آسیب پذیری رو ارائه بده.
- PoC : گزارش باید شامل PoC باشه و آسیب پذیری رو بصورت کامل نشون بده. این میتونه بصورت ویدیویی ، خروجی دیباگر و … باشه. PoC باید کیفیت خوبی و حداقل کد برای نشون دادن آسیب پذیری رو داشته باشه.
- قابلیت بازتولید آسیب پذیری: گزارشات باید طوری باشه که توضیحات قدم به قدم در خصوص بازتولید آسیب پذیری در دستگاه واجد شرایط در نسخه نهایی رو داشته باشه. این اطلاعات باید واضح و مختصر باشه و به مهندسان گوگل این امکان رو بده که مشکل رو بازتولید و شروع به اصلاح اون کنن.
- شواهد دسترسی : یه گزارش باید شامل شواهد یا تحلیلی باشه که نوع و سطح دسترسی یا اجرا رو نشون بده.
گوگل گفته از 15 مارس 2023، دیگه برای خیلی از آسیب پذیری ها، با شدت متوسط برای اندروید، CVE نمیده و CVEها رو فقط به آسیب پذیری ها، با شدت بالا و بحرانی میده.
برای مشاهده قوانین کامل ، میتونید از قسمت توضیحات برنامه کشف آسیب پذیری گوگل، دیدن کنید.