گوگل تیمی امنیتی برای شناسایی باگ اپلیکیشنهای حساس گوگل پلی تشکیل میدهد
گوگل در اطلاعیهای میگوید برای تشکیل یک تیم امنیتی جدید با محوریت سیستمعامل اندروید، قصد دارد متخصصان حوزهی امنیت را استخدام کند. اعضای این تیم امنیتی جدید موظف هستند حساسترین اپلیکیشنهای موجود در گوگل پلی استور را بررسی و نقصهای امنیتی احتمالی آنها را شناسایی کنند.
صفحهی جدیدی که در وبسایت گوگل ایجاد شده، توضیحاتی دربارهی این تیم امنیتی ارائه میدهد. در بخشی از این صفحه میخوانیم:
بهعنوان مدیر مهندسی امنیت در تیم امنیتی اندروید (Android Security)، شما و اعضای تیمتان اپلیکیشنهای متفرقهی (ترد پارتی) بسیار حساس منتشرشده روی پلی استور را ازلحاظ امنیتی ارزیابی میکنید. وظیفهی شما شناسایی آسیبپذیریها و سپس ارائهی راهکاری صحیح به توسعهدهندگان برای رفع آسیبپذیری است.
همانطورکه در بیانیهی گوگل آمده، اعضای تیم جدید روی اپلیکیشنهای بسیار حساس متمرکز هستند؛ ازجمله اپلیکیشنهایی با محوریت کووید ۱۹ که هرگونه تماس با افراد آلوده به ویروس را ردیابی میکنند. افزونبراین، اعضای تیم امنیتی جدید اندروید روی اپلیکیشنهایی تمرکز خواهند کرد که به انتخابات ریاستجمهوری پیش رو در ایالات متحدهی آمریکا مرتبط هستند. سباستین پرست، مدیر مهندسی نرمافزار در تیم گوگل پلی پروتکت (Google Play Protect)، میگوید بهغیر از اپلیکیشنهای یادشده، اپلیکیشنهای حساس دیگری هم ارزیابی خواهند شد.
تیم اختصاصی گوگل قرار است تلاشهایی در زمینهی فعالیتهای محققان امنیتی مستقل خواهد کرد. گوگل به محققان مستقل امکان میدهد ازطریق برنامهی جایزهی امنیت گوگل پلی (Google Play Security Reward Program) یا GPSRP نقصهای امنیتی را شناسایی کنند و در ازای این کار جایزه بگیرند. GPSRP را میتوانیم طرح ویژهی گوگل برای شکار باگ در اپلیکیشنهای اندرویدی قرارگرفته روی پلی استور بهحساب بیاوریم. گوگل گزارشهای دقیق محققان امنیتی را دریافت و بهجای توسعهدهندگان اپلیکیشنهای آسیبپذیر، مبلغی بهعنوان جایزه به محققان پرداخت میکند.
البته طرح GPSRP گوگل صرفا به اپلیکیشنهایی محدود است که بیش از ۱۰۰ میلیون کاربر دارند. اپلیکیشنهایی که در دستهی اپلیکیشنهای بسیار حساس جای میگیرند یا اینکه وظایفی حیاتی برعهده دارند، عموما به ۱۰۰ میلیون دانلود نمیرسند؛ بنابراین، برای طرح GPSRP واجد شرایط نیستند. همین موضوع باعث میشود محققان امنیتی علاقهی چندانی به انجام آزمایشهای مختلف روی این اپلیکیشنها برای شناسایی آسیبپذیری نداشته باشند.
لوکاس استفنکو، تحلیلگر بدافزارهای موبایلی اهل اسلواکی در مؤسسهی پژوهشی ESET، چند روز پیش به رسانهی ZDNet گفت استخدام محققان برای تشکیل تیمی تخصصی بهمنظور شناسایی باگ اپلیکیشنهای گوگل پلی، قطعا حرکت هوشمندانهای است.
داشتن تیمی تخصصی و مجزا برای شکار باگ در گوگل پلی باعث میشود امنیت کاربرانی بیشازپیش حفظ شود که از فروشگاه آنلاین گوگل اپلیکیشن دانلود میکنند. گوگل موقعیت کاری خوبی مهیا میکند؛ بنابراین، شکی نداریم شماری از بهترین محققان امنیتی برای استخدام در گوگل تلاش خواهند کرد تا تیمی زبده تشکیل شود.
این نخستینباری نیست که گوگل برای رفع مشکلات سیستمعامل اندروید و اپلیکیشنهای آن قدم برمیدارد. در چند روز اخیر، این شرکت طرحهای متعددی راهاندازی کرده است. یکی از اقدامات گوگل این بود که اعلام کرد برای شناسایی باگهای موجود در موتور جاوااسکریپت مرورگرهای وب، بودجهای ویژه اختصاص میدهد. این طرح که کمکهزینهی تحقیقاتی فازیلی (Fuzzilli Research Grant) نامیده میشود، به محققان برای انجام آزمایش فاز کمک میکند. گوگل در اقدامی دیگر اعلام کرد قصد دارد شرکتهای تولیدکنندهی گوشیهای اندرویدی را به رفع زودهنگام باگ دستگاههایشان مجبور کند.
دیدگاه شما کاربران زومیت دربارهی تشکیل تیم امنیتی جدید اندروید چیست؟