باگ های نرم افزاری یکی از بزرگ ترین معضلات سرویس ها و اپلیکیشن های مختلف هستند که به طور مستمر کمپانی های ارائه دهنده ی خدمات نرم افزاری را درگیر می کنند.
سازندگان بدافزار هر روز تهاجمی تر می شوند و نسبت به گذشته تبحر بیشتری پیدا می کنند. در این میان کمپانی های بزرگ فناوری برای حفظ کاربران خود از خطر بدافزارها مدام در جستجوی روش های جدید هستند. در اقدامی جدید، شماری از کمپانی های فعال در حوزه ی فناوری در همکاری با هم برنامه ای ترتیب داده اند که در آن به یابندگان باگ پاداش داده می شود.
در این برنامه ی امنیتی، برای هر فرد یا گروهی که موفق به یافتن نقاط آسیب پذیر حساس و حیاتی در نرم افزارها شود جایزه ی نقدی تعلق می گیرد. گوگل در درون ساختار خود سال هاست که از شیوه ی پاداش در ازای کشف نقص نرم افزاری استفاه می کند. اما این غول فناوری تصمیم گرفته این طرح را گسترش دهد و به همراه دیگر شرکت های موازی، یک موج باگ یابی بزرگ راه بیاندازد.
پیدا کردن باگ به ویژه در زمینه ی امنیت برای کمپانی های بزرگ بسیار مهم تر از چیزی است که تصور می کنیم. یک نقطه ی آسیب پذیری امنیتی ساده می تواند شدیدا اعتماد کاربران به یک سرویس را خدشه دار کند و اعتماد کاربر چیزی است که غول های فناوری به هیچ قیمتی حاضر به از دست دادن یک سر سوزن از آن نیستند.
به راه انداختن طرح شکار باگ در ازای پاداش در واقع روش هوشمندانه ای برای ارتقای امنیت سرویس های نرم افزاری است. هدف اصلی این طرح کارشناسان و خبرگان نرم افزار نیستند؛ این طرح در واقع هکرها را هدف قرار می دهد. طرح هوشمندانه ی پول در ازای باگ هکرها را تشویق می کند نقاط آسیب پذیری نرم افزاری را که مدت هاست کشف کرده و برای روز مبادا نگه داشته اند، آشکار نمایند تا گوگل بلافاصله آن ها را بر طرف کند.
طرح Bug Bounty که می توان آن را « جایزه ی باگ یابی» نامید، در اصل برای پیدا کردن باگ های مهم در اپلیکیشن های شخص سوم طراحی شده است. یعنی این طرح ویژه ی پیدا کردن نقاط آسیب پذیر در اپ های غیر گوگلی است. البته اپ های ساخت گوگل هم شامل طرح می شود و پیدا کردن باگ در آن ها هم جایزه دارد. مرجع مورد نظر گوگل برای جایزه ی باگ یابی، اپ های سرویس Play Store است.
کمپانی بزرگی مانند گوگل که در زمینه ی نرم افزار در دنیا بی رقیب است مسلما از بهترین مهندسان نرم افزاری دنیا استفاده می کند. دانش بالای نرم افزاری در کنار سیستم های پیشرفته ی ضعف یابی باعث شده به ندرت در اپ ها و سرویس های گوگل (یا دیگر غول های فناوری) اشکال مهمی پیدا شود.
از طرف دیگر، اپ های شخص سوم متعلق به افراد متفرقه هستند و در بسیاری از موارد از ضعف های کدنویسی رنج می برند. برنامه ای که چند شرکت فناوری در همکاری با یکدیگر ترتیب داده اند، هکرها و کارشناسان را در مسیر آنالیز اپلیکیشن های play store قرار می دهد. از این رو، طرح جایزه ی باگ یابی باعث بالا رفتن امنیت اپ های اندرویدی می شود.
البته طرح جایزه ی باگ یابی مختص اپ های خود گوگل و اپلیکیشن های سوم شخص محبوب و شناخته شده است. اینکه چه اپ های سوم شخصی محبوب و معتبر هستند را خود گوگل مشخص می کند. کمپانی گوگل به این منظور فهرستی از اپلیکیشن های منظور شده در طرح باگ یابی را منتشر خواهد کرد. این فهرست تازه تشکیل شده و تعداد اپ های آن انگشت شمار است. یکی از فواید مهم این طرح محدود کردن احتمال بروز آسیب های سخت و مشکلات جدی به کاربران و شرکت هایی است که از اندروید استفاده می کنند.
کسانی که به چالش جدید گوگل علاقه پیدا کرده اند باید بدانند، این شرکت به ازای هر یک آسیب پذیری، پس از تایید 1000 دلار جایزه می دهد. تعداد باگ ها و نقاط آسیب پذیر محدودیتی ندارد و به شرط برخورداری از موارد زیر مشمول دریافت جایزه می شود.
شرایط و ضوابط طرح دادن پاداش به کشف آسیب پذیری نرم افزاری:
در حال حاضر طرح تنها به یافتن آسیب پذیری در RCE (اجرای کد از راه دور) محدود است و باید با اثبات مفهومی در نسخه های اندروید 4.4 و بالاتر جواب دهد. هرگونه آسیب پذیری RCE که به مهاجم اجازه دهد کد مورد نظر خود را بدون اطلاع یا اجازه ی کاربر روی دستگاه وی اجرا کند، شامل این طرح خواهد شد. نمونه هایی از آن در زیر شرح داده شده است:
- متجاوز کنترل کامل را به دست بگیرد؛ یعنی بتوان کرد را از شبکه دانلود و سپس اجرا کرد. دانلود و اجرای کدهای دلخواه مانند قالب اولیه، کد جاوا ، جاوا اسکریپت و غیره).
- دستکاری رابط کاربری به منظور انجام تراکنش. برای نمونه، وادار کردن اپ بانکی به انتقال وجه از طرف کاربر و بدون رضایت وی.
- باز کردن پنجره ی وب که در نهایت به انجام حمله ی فیشینگ منجر شود. باز کردن پنجره ی وب بدون دخالت و برهم کنش با کاربر.
- هیچ نیازی به دور زدن (بای پس کردن) سندباکس سیستم عامل نیست.
توجه داشته باشید که برنامه ی جدید «جایزه ی باگ یابی» منحصرا به اپلیکیشن های طراحی شده توسط گوگل و اپ های سوم شخص تعیین شده توسط این کمپانی می باشد. اپلیکیشن های شخص سوم مورد قبول این طرح در فهرستی قرار می گیرند که به مرور زمان بزرگ تر شده و اپ های بیشتری را در بر خواهد گرفت. این فهرست در حال حاضر شامل اپلیکیشن های شخص سوم زیر است:
Alibaba, Dropbox, Duolingo, Headspace, Line, Mail.Ru, Snapchat, Tinder
