Biztonsági szakemberekből álló külön csapat felállításába kezd a Google. A cég szándékai szerint az egységnek azokat a saját alkalmazásáruházában elérhető külső fejlesztésű appoknál kell sérülékenységek után kutatni, amelyeket nem feltétlenül töltenek le százmilliós nagyságrendben, ám témájuk miatt kiemelt figyelmet érdemelnek.

Speciális figyelem

Az informatikai világ tisztán tartásán nem csak a programokat fejlesztő vállalatok munkatársai dolgoznak, de független biztonsági szakértők is, akik a különböző hibavadász programok keretében kaphatnak ellentételezést. Ilyen lehetőség működik a Google-nél is, ám a Google Play Security Reward Program (GPSRP) feltételrendszere meglehetősen szigorú. Csak olyan Play Áruházban lévő programokban felfedezett hibák után fizet a cég, amelyeknél a felhasználói tábor meghaladta a 100 milliót. Könnyen belátható, hogy bőven van akad olyan app, amely ezt a mennyiséget nem éri el, mégis fontos lenne, hogy ne fusson benne sérülékenységet jelentő kód.

Ezt a problémát igyekszik most orvosolni a keresőóriás azzal, hogy szoftverbiztonsággal foglalkozó mérnökök verbuválásába kezdett. A szakembereknek fehér kalapos hekkerként kell kutatni majd lehetséges gyenge pontok után olyan megoldásokban, mint amilyenek például a világban a járvány hatására egyre több helyen bevezetett kontaktkövető appok. (A hagyományos módszert ugyan kiváltani nem képes, de azt a kutatások szerint eredményesen segítő alkalmazások táborát gazdagítja májustól a hazai fejlesztésű VírusRadar is.)

A hírek szerint a kiemelten felügyelendő programok listáján szerepelnek még a választásokkal összefüggő appok is. Ezek önmagukban is igen érzékeny témához köthetők, de pont az olyan nagy technológiai vállalatok miatt mint a Google (vagy a Facebook) ez a terület mostanában még inkább a figyelem középpontjába került, mivel a sokszor állami támogatású hekkerek előszeretettel terjesztenek álhíreket és propagandát bármilyen felületen, amit kontrollálni tudnak.

Van mááásik!

A Google a múlt héten egy másik biztonsági témájú kezdeményezést is elindított. Ez nem házon belüli, hanem pont ellenkezőleg, külsős erőforrásokra igyekszik támaszkodni. A vállalat október elejével egy egyéves programot írt ki, amelynek célja a böngészőkben található JavaScript motorok - JavaScriptCore (Safari), V8 (Chrome, Edge), Spidermonkey (Firefox) - "tisztán tartása". 

A Fuzzilli Research Grant program érdekessége, hogy mindössze egyetlen szabálynak kell megfelelnie a támogatásra vágyó pályázóknak. Ez pedig az, hogy a hibák után az úgynevezett fuzzing módszerrel kell kutatni. A fuzz testing lényege, hogy nagy mennyiségű szándékosan deformált, invalid inputtal "etetik meg" a programot, és az így előálló információk alapján keresnek sebezhetőségeket. A technika a nagy techcégek esetében széles körben használt, ám független biztonsági kutatók esetében ritkán, mivel a módszer rendkívül sok (és drága) számítási kapacitást igényel.

A bug bounty programok résztvevői alapból bizonytalan jövedelemre számíthatnak, és még ha találnak is valamit, általában azt sem azonnal fizetik ki. Ezek alapján nem meglepő, hogy a nagy előzetes költséggel járó fuzzing nem tartozik a szabadúszó hibavadászok legkedveltebb eszközének. A Google most bejelentett pályázati kezdeményezése pont ezt a hiányosságot igyekszik orvosolni. Az előzetes elbírálást követően az arra érdemes projektek 5000 dollárig terjedő támogatást kaphatnak, amelyet a Google cloudos szolgáltatásaiban lehet "levásárolni".