Android Güvenlik Ödülleri (AGÖ), Android güvenlik açıklarını Google'a bildiren araştırmacıları ödüllendirmek için Google tarafından 2015'te başlatılan bir program. Ödüllerin ne kadar olacağını belirleyen kriter ise, bulunan güvenlik açığının ciddilik seviyesi. Ayrıca güvenlik açığının, Pixel telefon ve tabletlerdeki en son Android sürümlerinde bulunması gerekiyor.
Haziran 2017'de, ödül programı verdiği ödülleri yükseltti çünkü Google'a göre, "her çıkarılan Android sürümü daha fazla güvenlik koruması sunuyor ve son iki yıldır hiçbir araştırmacı bir güvenlik açığı zinciri için en büyük ödülü alamadı." Ama geçtiğimiz cuma günü firma, sonunda ilk büyük ödül sahibini açıkladı.
Google'ın blog yazısında açıklandığına göre, Çinli bir güvenlik firması olan Qihoo 360 Technology'de çalışan Guang Gong, keşfettiği iki büyük hatayı Google'a bildirerek 112.500 dolarlık ödülün sahibi oldu. Ödül, Ağustos 2017'deki iki hatanın bildirilmesiyle kazanıldı: Bir tanesi Chrome'un sandbox alanında hazırlanmış HTML yoluyla keyfi kodun uzaktan yürütülmesine olanak tanıyan CVE-2017-5116, diğer ise Chrome'un sandbox'undan bir kaçış sağlayan CVE-2017-14904.
Bu güvenlik açıkları birlikte kullanılırsa, keyfi kodun Pixel'in system_server sürecine uzaktan enjekte edilmesi sağlanıyor. Daha da kötüsü, saldırganın saldırıyı gerçekleştirmesi için tek ihtiyacı olan, kötü niyetle oluşturulmuş bir URL'ye kuranının Chroma'dan erişmesini sağlamak.
Tabi Google, bu iki güvenlik açığını Aralık 2017 güvenlik güncellemesinde yamaladıktan sonra açıkladı. Teknik detaylarla ilgileniyorsanız, Guan Gong'un konuk olarak makale yazdığı açıklama blog yazısına göz atabilirsiniz.