Bir çok başka şirket gibi, Google da ürün ve platform güvenliğini artırmak için “Bug Bounty” denilen ödül programına sahip. Android, Play, Chrome ve web hizmetleri için ayrı ayrı ödüller söz konusu. Ama 2021’de bu alanda bir rekor kırılmış gözüküyor. Google, araştırmacı ödemelerinin 2021’de 2 milyon dolar artarak 8,7 milyon dolara yükseldiğini açıkladı.
Hata ödül programları, bazen bir kuruluşun ürünlerindeki güvenlik açıklarını belirlemek ve düzeltmek için geniş bir çoklu akıl hacmini yakalar. Bu programlara katılanlar, “bağımsız güvenlik araştırmacıları” oluyor, bazen bu firmaların teknolojilerini hedef alabilecek potansiyel saldırılar hakkında çok daha önce bir şeyler yakalayabiliyor.
Geçen yıl Google, şirketin teknolojilerindeki binlerce güvenlik açığını keşfeden ve bildiren 62 ülkeden 696 üçüncü taraf hata avcısına (bug bounty) rekor düzeyde 8,7 milyon dolarlık ödül ödedi.
Bu miktar, Google’ın 2020’de hata avcılarına ödediği 6,7 milyon dolarlık ödüle göre yaklaşık %30’luk bir artışı temsil ediyordu. Artışın bir kısmı, belirli türdeki hata keşifleri için daha yüksek ödemelerle ilgiliydi. Ancak, araştırmacıların Google’ın bazı temel teknolojilerinde ortaya çıkarmaya devam ettikleri artan sayıda açığın da payı var.
Chrome buna bir örnek. 2021’de Google’ın güvenlik açığı ödül programına katılan hata avcıları, 2020’de açıklanan 300 Chrome hatasından yaklaşık %10 daha fazla olmak üzere toplam 333 benzersiz Chrome güvenlik hatası bildirdi. 2019’daki 2,1 milyon dolarlık ödülle karşılaştırıldığında %83 daha yüksekti. Chrome ödemelerinin çoğu (3.1 milyon dolar), Chrome tarayıcısında güvenlik hataları bildiren araştırmacılara gitti. Google, Chrome OS’deki hatalar için 250.000 ABD Doları ödedi; buna, bir ayrıcalık yükseltme hatası için 45.000 ABD Doları tutarındaki en büyük ödül de dahil.
Google’ın Android işletim sisteminde de açıklar bulunmaya devam etti. Geçen yıl şirket, Android kusurlarını bildiren böcek avcılarına 3 milyon dolar ödedi ve bu, bir önceki yılki 1,7 milyon dolardan neredeyse iki katına çıktı. Android güvenlik açığı ödül programındaki önde gelen iki hata avcısı, 2021’de Google’a şaşırtıcı sayıda yani 360 geçerli güvenlik açığı bildirdi. Bunlardan biri, araştırmacı Aman Pandey 232 güvenlik açığı gönderirken, diğeri Yu-Cheng Lin 128 hata bildirdi. Google ayrıca, 2021’de bir Android güvenlik açığı için şimdiye kadarki en yüksek ödemeyi yaptı – teknolojide kritik bir istismar keşfeden bir araştırmacıya 157.000 dolar verdi.
Google Play’deki güvenlik açıklarını bildiren hata avcılarına Google’ın ödediği ödül parası da 2020’de 270.000 dolardan 2021’de 550.000 dolara iki katına çıktı.
2021’de Google , Chrome, Android ve Play için olanlar da dahil olmak üzere şirketin tüm güvenlik açığı ödül programlarını bir araya getiren herkese açık bir araştırmacı portalı başlattı. Portal, şirkete hata bildirimlerini kolaylaştırmak ve programa katılan araştırmacılara birbirleriyle etkileşim kurmaları için daha fazla fırsat vermek üzere tasarlandı.
Bu arada, yine bu hafta yayınlanan Google’dan yeni veriler, şirketin Project Zero ekibiyle birlikte hata avcılarının 2019 ve 2021 yılları arasında çeşitli diğer satıcılara ait teknolojilerde 376 güvenlik sorunu keşfettiğini ve bildirdiğini gösterdi.
Şirketin analizi, hataların 351’inin düzeltildiğini, geri kalanların ise ilgili satıcıların düzeltmeyeceği sorunlar olarak işaretlendiğini gösterdi. Project Zero ekibinin 2019 ile 2021 arasında keşfettiği toplam güvenlik açıklarının %26’sı veya doksan altı hata Microsoft teknolojilerini içeriyordu, 85’i Apple ile ilgiliydi ve 60’ı Google teknolojileriyle bağlantılıydı. Bu satıcılar arasında, açıklanan güvenlik açıklarını en hızlı şekilde ele alan Google oldu. Ortalama olarak, Google’un bir hatayı düzeltmesi 44 gün sürerken, bu süre Apple için 69 gün ve Microsoft için 83 gün sürdü.