Hãy tìm ra lỗi bảo mật, Google sẽ thưởng tiền!

Để khuyến khích các chuyên gia bảo mật tìm ra những lỗi trên ứng dụng của mình, lâu nay Google đã có Chương trình Phần thưởng Bảo mật (GPSRP, viết tắt từ Google Play Security Reward Program), gọi nôm na là “săn lỗi nhận thưởng”. Mới đây GPSRP vừa được mở rộng rất hấp dẫn: Chỉ cần phát hiện ra lỗi của ứng dụng trên kho ứng dụng Google Play, bất kể ứng dụng đó có phải của Google hay không thì người tìm ra cũng có thể nhận thưởng từ Google, với số tiền thưởng lên đến 30.000 USD.

Tình hình bảo mật khá nghiêm trọng, dẫn đến mở rộng quy mô trả thưởng

Gần đây, khá nhiều ứng dụng có số lượt tải rất cao trên Google Play bị phát hiện có nhúng mã độc bên trong khiến người dùng công nghệ cảm thấy lo lắng. Đáng nói là những mã độc này không hề được nhà phát triển ứng dụng cho phép, thậm chí không hề hay biết. Tình trạng này do các hacker gây ra bằng cách lợi dụng các lỗ hổng bảo mật, âm thầm đưa mã độc vào các bản cập nhật ứng dụng mới nhất. Khi người dùng cập nhật các ứng dụng này, hoặc ứng dụng tự động cập nhật thì mã độc sẽ xâm nhập thiết bị.

Người dùng lẫn truyền thông đã bày tỏ sự lo âu, khiến Google phải quyết liệt giải quyết vụ việc. Biện pháp đầu tiên đã được Google triển khai là tuyên bố sẽ thực hiện một loạt thay đổi lớn với các chương trình GPSRP.

Những thay đổi của chương trình GPSRP

Trong chương trình GPSRP trước đây, Google chỉ trao thưởng cho các chuyên gia bảo mật – ta sẽ gọi là các hacker mũ trắng - phát hiện ra các vấn đề bảo mật trong 8 ứng dụng lớn của chính Google, thì bây giờ họ có thể nhận được khoản tiền thưởng lên đến 30.000 USD nếu tìm ra lỗ hổng ở các ứng dụng trên Google Play Store, cho dù các ứng dụng này không phải của Google. Ràng buộc lớn nhất là các ứng dụng này phải rất phổ biến, thể hiện bằng số lượt tải trên Play Store phải trên 100 triệu.

Khi một hacker mũ trắng phát hiện lỗ hổng bảo mật trong một ứng dụng phổ biến (có trên 100 triệu lượt tải), sẽ có 2 trường hợp xảy ra:

-          Nhà phát triển ứng dụng này chưa hề có treo thưởng cho ai phát hiện lỗi bảo mật của mình: Google sẽ giúp các hacker mũ trắng thông báo các lỗ hổng đã xác định cho nhà phát triển ứng dụng bị ảnh hưởng, đồng thời Google chủ động trả thưởng.

-          Ứng dụng đã có riêng chương trình trả thưởng cho ai phát hiện ra lỗi bảo mật của mình: hacker mũ trắng có thể nhận tiền thưởng đồng thời từ phía nhà phát triển ứng dụng lẫn từ phía Google, thông qua chương trình GPSRP.

Với việc mở rộng GPSRP này, Google hy vọng các hacker mũ trắng sẽ tham gia tích cực hơn vào việc phát hiện và thông báo các lỗi bảo mật nghiêm trọng. GPSRP cũng được kỳ vọng sẽ hạn chế việc các hacker mũ trắng tự tiết lộ công khai, hay rao bán các thông tin về lỗ hổng bảo mật cho các nhóm tin tặc nguy hiểm.

Thái Thư

Báo Đồng Nai - 02/09/2019