Google, uygulama mağazası Google Play Store’da 7 yıldır uyguladığı güvenlik açığı bulana ödül programını sonlandırdığını açıkladı.
Alman teknoloji devi Bosch’un kurucusu Robert Bosch’un, “İnsanların Güvenini Kaybetmektense Para Kaybetmeyi Tercih Ederim” sözünü ve mottosunu sanırım duymayan kalmamıştır.
Dünyanın en büyük teknoloji şirketlerinden Google, bu mottoyu tersine çevirerek, para kaybetmektense insanların güvenini kaybederim mottosu ile son 7 yıldır, Google Play Store uygulama mağazasında yer alan uygulamaların zayıflıklarının ve açıklarının tespit edilmesinde, Android cihaz kullanıcılarının güvenliğinde önemli bir yer edinen Google Play Güvenlik Ödül Programı’nı sonlandırma kararı aldı.
Son dönemde, Türkiye’de çokça karşılaştığımız, banka hesaplarının boşaltılması sorunu çok daha fazla yaşanacak. Her ne kadar dolandırılan vatandaşlar, öncelikli olarak bankaları ve telekom operatörlerini suçlasa da bu tip olayların temelinde büyük çoğunlukla Android telefon kullanıcılarının telefonlarına indirdikleri uygulamalara gizlenen zararlı yazılımlar yol açıyor.
Dolandırıcılar, bazı yazılımların içerisine, sizin telefonunuzu uzaktan ele geçirmelerine olanak tanıyan bazı kodlar gömüyor, bu kodlar aracılığı ile telefonunuzun kontrolünü ele geçirerek, banka hesaplarını boşaltıp üstüne de her türlü kredi olanaklarını kullanarak, sizin adınıza kredi çekip bu tutarları üçüncü şahısların hesaplarına aktararak dolandırıyorlar.
Son bir yıl içerisinde bu tip olayların sayısında inanılmaz bir artış meydana geldi. İşte bu tip zararlı yazılım kodlarını bulmaya yardımcı olan, Google Play Güvenlik Ödül Programı sonlandırılıyor. Android kullanıcıları bundan sonra çok daha fazla tehlikede. Apple ise kendi uygulama mağazasında yer alan uygulamaları titizlikle inceleyerek, bu tip zararlı koda sahip yazılımların uygulama mağazasında yer almasının önüne geçiyor.
GPSRP 2017 yılında ilk başlatıldığında, yalnızca katılımcı geliştiricilerin küçük bir kısmının uygulamalarını etkileyen uygun güvenlik açıklarını göndermelerine izin verilen belirli sayıda geliştiriciyle sınırlıydı. Uygun güvenlik açıkları arasında uzaktan kod yürütmeye veya güvenli olmayan özel verilerin çalınmasına yol açanlar yer alır ve ödemeler başlangıçta ilk türdeki güvenlik açıkları için maksimum 5.000 dolara ve ikinci türdekiler için 1.000 dolara ulaşıyordu.
Ağustos 2019’da Google, kendi güvenlik açığı bildirimi veya hata ödül programı olmasa bile en az 100 milyon yüklemeye sahip tüm Google Play uygulamalarını kapsayacak şekilde GPSRP’yi açtı. Temmuz 2019’da ödüller, uzaktan kod yürütme hataları için maksimum 20.000 dolara ve güvenli olmayan özel verilerin çalınmasına veya korunan uygulama bileşenlerine erişime yol açan hatalar için 3.000 dolara çıkarıldı.
GPSRP’nin duyurulmasından yaklaşık bir yıl sonra, Eylül 2018’de Google, araştırmacıların program aracılığıyla 30’dan fazla güvenlik açığı bildirdiğini ve toplamda 100.000 doların üzerinde bir ödül kazandığını söyledi. Yaklaşık bir yıl sonra, Ağustos 2019’da Google, programın 265.000 doların üzerinde ödül ödediğini söyledi.
Bildiğimiz kadarıyla şirket o tarihten bu yana güvenlik araştırmacılarına ne kadar ödeme yaptığını açıklamadı; ancak son açıklamanın üzerinden ne kadar zaman geçtiği ve güvenlik araştırmacılarının ilgi odağı olan popüler uygulamaların sayısı göz önüne alındığında bu rakamın milyon dolara ulaşmış olduğu varsayılabilir.
Google, programa dahil olan yazılımcılara gönderdiği mesajda, GPSRP programının 31 Ağustos’ta sona ereceğini duyurdu. O tarihten önce gönderilen tüm raporlar 15 Eylül’e kadar sınıflandırılacak. Son ödül kararları, programın resmi olarak sona erdiği 30 Eylül’den önce verilecek. Son ödemelerin işleme alınmasının ise birkaç hafta sürebileceği belirtildi.