Google Perbarui Program Vulnerability Rewards Untuk Android
Google, seperti banyak perusahaan teknologi lainnya, mempunyai program Vulnerability Rewards (VRP) yang mendorong peneliti keamanan untuk melaporkan masalah keamanan dan memastikan produk Google aman bagi para penggunanya. Namun, baru-baru ini Google mengumumkan perubahan pada program VRP, termasuk pembagian CVE baru dan pembayaran untuk entitas yang menemukan bug yang cukup serius.
Menurut blog keamanan Google, Android tidak akan lagi menetapkan CVE untuk sebagian besar masalah keamanan moderat, sementara kerentanan berat dan kritis masih akan menerima CVE. Hal ini berarti cakupan pembaruan keamanan untuk telepon Pixel akan memiliki lebih sedikit CVE, sehingga tidak banyak masalah yang pantas untuk dibahas, kecuali Google menetapkan ID untuk masalah moderat sesekali.
Bagaimana Google Menetukan Tingkat Keparahan Masalah
Bagaimana Google menentukan tingkat keparahan masalah? Google menentukan tingkat keparahan masalah yang dilaporkan oleh para peneliti keamanan, namun diatur oleh seperangkat aturan yang baik. Ada tiga tingkat keparahan masalah yang bisa terjadi, yaitu tingkat rendah, moderat, dan tinggi. Google menentukan tingkat keparahan masalah dengan melihat dari segi cakupan kerentanan, lalu menentukan apakah masalah tersebut memiliki potensi bahaya atau tidak.
Google memiliki sistem penilaian kualitas baru yang terintegrasi ke dalam VRP, yaitu sistem penilaian kualitas tiga poin, yang mendorong para peneliti keamanan untuk melaporkan bug yang telah diteliti dengan baik, sehingga mereka dapat direproduksi dan ditangani secara efisien. Google telah menyusun daftar harapan untuk elemen yang harus terdapat dalam laporan bug, termasuk deskripsi yang rinci, analisis penyebab akar, demonstrasi masalah, instruksi untuk mereproduksinya, dan bukti tentang hak akses berbahaya yang dapat dimiliki oleh pelaku kejahatan.
Tingkat Hadiah Yang Ditawarkan
Google juga telah mengubah hadiah maksimum untuk penemuan kerentanan perangkat Android dan Google. Para peneliti keamanan dapat mengklaim hingga $15.000 jika mereka menemukan satu bug dan membuat pengiriman yang rinci. Sementara itu, rantai eksploitasi lengkap seperti yang digunakan oleh pelaku kejahatan di dunia maya layak untuk hadiah hingga $1.000.000. Pengiriman laporan masalah keamanan moderat akan mendapatkan hadiah hingga $250, sedangkan tidak ada hadiah untuk laporan masalah keamanan rendah.
Google mengatakan bahwa mereka telah memberlakukan perubahan pada Android VRP ini sejak 15 Maret 2023. Tingkat hadiah baru untuk bug bounty ini lebih baik, namun sangat penting bahwa skala tetap terjaga sehingga kerentanan semacam ini tidak dijual di pasar gelap yang sering dikunjungi oleh para peretas dan penjahat siber.
Namun, persyaratan Google untuk laporan bug yang baik tidak terlalu banyak, tetapi dengan informasi yang tidak memadai dan tidak adanya hadiah untuk masalah yang lebih kecil, dapat dipertanyakan apakah masalah yang lebih kecil ini akan tetap tidak diperbaiki. Kurangnya CVE untuk masalah prioritas rendah juga berarti bahwa hanya Google yang mengetahui masalah tersebut dan memiliki posisi untuk memperbaikinya. Kurangnya CVE akan lebih mudah dilacak, tetapi kami khawatir masalah kecil tanpa pengenal dapat terlewatkan.
Disarikan dari: Sumber