گوگل یه گزارشی منتشر کرده در خصوص برنامه باگ بانتیش در سال 2022 و این سال رو یه سال باورنکردنی توصیف کرده که تونستن 2900 گزارش دریافت و اصلاح کنه.
گوگل گفته از اینکه هر سال دارن پیشرفت میکنن ، شگفت زده هستن و امسال هم تونستن باز رکورد سال قبل بشکنن. سال 2022 در مجموع 12 میلیون دلار بانتی دادن و 230 هزار دلار هم به موسسات خیریه کمک شده. در ادامه از محققین امنیتی تشکر کردن و اعلام کرده که برای همکاری بیشتر در آینده مشتاقتر هستن.
برنامه باگ بانتی برای دستگاهها و اندروید:
در سال 2022 محققین تونستن 4.8 میلیون دلار بانتی در این بخش دریافت کنن و بیشترین بانتی هم که داده شده 605 هزار دلار بوده که رکورد شکنی هم شده.
در این بخش روی اندروید و Google Device ها فعالیت دارن و اسکوپ برنامه اشون رو هر سال دارن گسترده تر میکنن. الانم از تحقیقات روی Google Nest (در حوزه خانه های هوشمند فعالیت میکنه) و Fitbit (در زمینه شناسایی و فعالیتهای فیزیکی کاربران مانند ساعت های هوشمند فعالیت میکنه) استقبال میکنن. برای آشنایی با برنامه ها و میزان بانتی و قوانینشون ، میتونید اینجا رو ببینید.
گوگل همچنین در مورد برنامه خصوصی Android Chipset Security Reward Program (ACSRP) ، که یه برنامه کشف آسیب پذیری خصوصی هستش و بصورت invite-only و با همکاری سازندگان چیپستهای اندرویدی برگزار میشه ، گفته که در سال 2022 بانتی به مبلغ 486 هزار دلار برای 700 گزارش پرداخت کرده.
در ادامه هم اسم چند تا از محققین امنیتی در این حوزه رو به دلیل سخت کوشیشون آورده:
- Aman Pandey از Bugsmirror که در سال 2022 تونستن 200 آسیب پذیری رو گزارش بدن. گزارش اول ایشون به سال 2019 برمیگیرده و تا الان 500 گزارش رو ثبت کردن.
- Zinuo Han از OPPO Amber Security Lab که در سال 2022 تونستن 150 گزارش رو ثبت کردن.
- gzobqq با ارائه یه زنجیره اکسپلویت حیاتی ، ارزشمندترین اکسپلویت خودش رو در سال 2022 ثبت کرده.
- Yu-Cheng Lin که یکی از برترین محققین این بخش بوده و تونسته حدود 100 گزارش رو در 2022 ثبت کنه.
برنامه باگ بانتی مرتبط با کروم:
تحقیقات در این حوزه منجر به ثبت 470 گزارش و پرداخت 4 میلیون دلاری شده. از این 4 میلیون ، 3.5 میلیون دلارش برای 363 گزارش مرتبط با مرورگر کروم و 500 هزار دلارش برای 110 گزارش مرتبط با ChromeOS بوده.
برنامه باگ بانتیشون امسال از لحاظ نوع آسیب پذیری و مبلغ و … بروزرسانی شده بود. همچنین اعلام کردن که 2023 قراره یسری برنامه باگ بانتی جذاب در این حوزه برگزار کنن.
برای کسب اطلاعات بیشتر در خصوص قوانین و پرداختی ها و … این لینک ببینید.
در نهایت از همه افرادی که در این برنامه مشارکت کردن و برنامه ها و سیستمها رو برای میلیارد نفر امن کردن ، تشکر کردن و اسم چند تا محقق در این حوزه رو هم آوردن:
- Rory McNamara که شش سال هستش که روی ChromeOS تحقیق میکنه و محققی هستش که بیشترین بانتی در این حوزه دریافت کرده. ایشون با ارسال 40 آسیب پذیری به این مقام رسیدن. از جمله سال 2018 با ثبت یه گزارش برای اجرای دستور در ChromeOS تونستن 75هزار دلار بانتی بگیرن. ایشون سال پیش با شرکت در Chrome Security Summit ، تجربیاتشون رو با دیگران به اشتراک گذاشتن.
- SeongHwan Park از اواسط سال 2021 در برنامه باگ بانتی گوگل شرکت کرده و تونسته 11 گزارش با کیفیت در سال 2022 از باگهای امنیتی ANGLE / GPU ثبت کنه و یکی از برترین محققین این بخش شده.
باگ بانتی مرتبط با پروژه های متن باز:
گوگل سال پیش برنامه OSS VRP خودش رو برای ایمن سازی پروژه های متن باز استارت زده، در مجموع 110 هانتر در این برنامه مشارکت داشتن و بیش از 110 هزار دلار بانتی دریافت کردن.
برنامه باگ بانتی Google Play :
در سال 2022 یسری تغییرات در برنامه باگ بانتی GPSRP دادن . همچنین از رویدادهای NahamCon ‘22 و BountyCon و NahamCon Europe هم حمایت کردن. برای کسب اطلاعات بیشتر و قوانین و میزان پرداختی های این بخش ، از این لینک دیدن نمایید.
اشتراک دانش:
گوگل در سال 2022 برای اشتراک دانش با دیگران Bug Hunter University (BHU) رو راه اندازی کرده. هدفشم این بوده که کمک کنه تا گزارش های ارسالی بهتر بشه و گزارش های نامعتبر رو کمتر کنه و همچنین 20 ویدیوی 10 دقیقه هم منتشر کردن در خصوص آسیب پذیری های مختلف و گزارش نویسی و … . در این آموزشها محققین برتر دنیا مانند LiveOverflow, PwnFunction, stacksmashing, InsiderPhD, PinkDraconian و … همکاری داشتن.
کمک هزینه های تحقیقاتی:
در سال 2022 ، گوگل 250هزار دلار کمک مالی به تحقیقات 170 محقق امنیتی کرده. اطلاعات بیشتر از اینجا بگیرید.
در آخر گوگل اعلام کرده که اگه محققین امنیتی نبودن، ما اینجا نبودیم که این موارد رو با شما به اشتراک بذاریم و از محققین تشکر کرده.
توصیه کرده مجموعه Hacking Google رو اگه ندیدید، حتما وقت بزارید و ببینیدش بخصوص قسمت چهارمش که در مورد باگ هانتراست.