Các hacker mũ trắng có thể nhận được khoản tiền thưởng lên đến 30.000 USD nếu tìm ra lỗ hổng ở các ứng dụng phổ biến trên Google Play Store
Thời gian gần đây, việc một loạt các ứng dụng có lượt tải lên tới hàng trăm triệu trên Google Play bị phát hiện có nhúng mã độc bên trong đã khiến không ít người dùng công nghệ cảm thấy bất an. Đáng chú ý, những mã độc này được một bên thứ ba thực hiện bằng cách lợi dụng các lỗ hổng bảo mật, âm thầm “tiêm” mã độc vào các bản cập nhật phần mềm mới nhất. Nghiêm trọng hơn, bản thân nhà phát triển ứng dụng lại không hề cho phép, hay thậm chí không hề hay biết.
Sự lo ngại từ phía người dùng lẫn truyền thông đã buộc Google phải quyết liệt hơn để giải quyết vụ việc nghiêm trọng này. Biện pháp đầu tiên đã được Google triển khai, khi hãng công nghệ mới đây đã tuyên bố sẽ thực hiện một loạt thay đổi lớn với các chương trình “săn lỗi nhận thưởng”, hay còn được biết với tên gọi chính chức Google Play Security Reward Program (GPSRP).
Thay đổi quan trọng nhất với GPSRP đến từ việc mở rộng quy mô chương trình. Nếu như trước đây, Google chỉ trao thưởng cho các nhà phát triển phát hiện ra các vấn đề bảo mật trong 8 ứng dụng lớn của chính công ty, thì với những thay đổi mới nhất, họ có thể nhận được khoản tiền thưởng lên đến 30.000 USD nếu tìm ra lỗ hổng ở các ứng dụng trên Google Play Store. Cụ thể hơn, chương trình “săn lỗi nhận thưởng” sẽ áp dụng với các ứng dụng có trên 100 triệu lượt tải trên Play Store.
Trong trường hợp các nhà nghiên cứu bảo mật tìm thấy lỗ hổng bảo mật trong một ứng dụng phổ biến (nhưng không có chương trình tiền thưởng), Google sẽ giúp các hacker mũ trắng thông báo các lỗ hổng đã xác định cho nhà phát triển ứng dụng bị ảnh hưởng, đồng thời tiến hành trả thưởng.
Trong khi đó, với các ứng dụng đã có riêng chương trình “săn lỗi nhận thưởng”, những nhà nghiên cứu bảo mật có thể nhận tiền thưởng đồng thời từ phía nhà phát triển ứng dụng lẫn từ phía Google, thông qua chương trình GPSRP.
Với việc mở rộng GPSRP sang các ứng dụng không phải của Google, công ty có trụ sở ở Thung lũng Silicon kỳ vọng các nhà nghiên cứu bảo mật sẽ tham gia tích cực hơn vào việc phát hiện và thông báo các lỗi bảo mật nghiêm trọng. Đồng thời, GPSRP cũng được kỳ vọng sẽ hạn chế việc các nhà nghiên cứu bảo mật tự tiết lộ công khai, hay thậm chí rao bán các thông tin về lỗ hổng bảo mật cho các nhóm tin tặc nguy hiểm.
Hiện tại, đã có một số nhà phát triển ứng dụng tham gia chương trình “săn lỗi nhận thưởng” mới này của Google, bao gồm các ứng dụng nổi tiếng như Grammarly, Livestream, Priceline, Shopify, Showmax, Spotify, Sweatcoin và Zomato.
Tham khảo The Forbes