Если вы разработчик приложений для Android и готовы разобраться с проблемами безопасности, вам могут заплатить за передачу своих навыков в Google. Хакерам удалось внедрить зараженные вредоносным ПО приложения в Google Play Store, некоторые из которых получили миллионы загрузок.
В ответ Google открыл свою программу поиска ошибок, которая позволяет разработчикам искать проблемы безопасности в распространенных приложениях. Ранее были рассмотрены только несколько приложений. Теперь все популярные приложения Play Store являются частью программы. Программа выплачивает денежные вознаграждения разработчикам, которые находят и сообщают о проблемах безопасности.
Почему в Google есть программа баунти-багов?
У Google долгое время была программа для поиска ошибок в собственных приложениях. Как и многие компании, Google предлагает вознаграждение разработчикам, которые обнаруживают проблемы на своих веб-сайтах. Он также предлагает вознаграждение за поиск ошибок в браузере Chrome или операционной системе Chrome. Но недавно он сделал более радикальный шаг, предлагая вознаграждение за ошибки, обнаруженные в приложениях других компаний.
Первая итерация программы баунти в Play Store была применена только к очень небольшому количеству популярных приложений. Теперь Google расширил программу, чтобы охватить любое приложение в магазине Play с более чем 100 миллионами установок. Это означает, что у охотников за ошибками гораздо больше возможностей обнаруживать проблемы в приложениях Play Store и получать вознаграждение за сообщение о них, даже если разработчики приложений не предлагают свои собственные программы за вознаграждение за ошибки.
Google говорит, что представил эту программу в надежде «поощрить сообщество помочь нам улучшить безопасность для всех». Поэтому он поощряет охотников за ошибками, которые обнаруживают ошибку, сообщать о ней разработчикам приложений, а также в Google. Это дает разработчикам оригинальных приложений возможность быстро исправить ошибку. А это означает лучшую безопасность для всех, кто использует приложения для Android.
Как стать участником программы Bug Bounty
Схема вознаграждения за ошибки в Play Store называется Программой вознаграждений за безопасность в Google Play (GPSRP). Google приглашает к участию исследователей безопасности и разработчиков приложений. Первый шаг — заполнить заявку на присоединение к программе. Вы можете искать проблемы с безопасностью в любом подходящем приложении в Play Store после того, как вас утвердят.
Есть три типа уязвимости, которые ищут участники. Во-первых, это уязвимости удаленного выполнения кода, которые позволяют хакеру получить доступ к устройству пользователя и внести изменения. Это очень серьезные проблемы безопасности.
Во-вторых, существует проблема кражи небезопасных личных данных. Именно здесь уязвимость позволяет хакеру украсть личную информацию, такую как данные для входа, историю веб-поиска или списки контактов.
В-третьих, есть доступ к защищенным компонентам приложения. Это относится к приложениям, которые выполняют функции, для которых у них нет разрешения. Например, приложение, которое отправляет SMS-сообщения, даже если у него нет разрешения от пользователя на это.
Программа не охватывает некоторые вопросы безопасности. Например, фишинговые атаки, хотя и потенциально опасны, не соответствуют требованиям. Это потому, что они работают, обманывая пользователя, а не запуская вредоносный код. Программа также не распространяется на атаки, которые требуют физического доступа к устройству.
Как только вы обнаружите ошибку, вы должны связаться с разработчиком приложения, чтобы сообщить им. Затем вы можете работать вместе с разработчиком, чтобы решить эту проблему. После устранения этой уязвимости вы можете получить денежное вознаграждение от Google.
Зарабатывайте награды за обнаружение злоупотреблений данными приложениями
Google предлагает не только вознаграждения за ошибки в безопасности. Он пытается расправиться с приложениями, которые также крадут пользовательские данные. Недавно компания запустила свою Программу вознаграждения за защиту данных для разработчиков (DDPRP), которая предлагает аналогичные вознаграждения для разработчиков, которые обнаруживают злоупотребления данными со стороны приложений.
Типы злоупотребления данными, которые ищет программа, — это приложения, которые собирают и продают пользовательские данные способом, который противоречит политике конфиденциальности Google. Например, это может быть приложение, которое собирает данные из контактных книг пользователей, такие как метаданные, показывающие, кому и когда они звонили, без защиты этих данных как конфиденциальных.
Он также будет охватывать приложения, которые нарушают правила о разрешениях, например, приложение, которое имеет доступ к разрешениям SMS, но использует его для сбора данных о SMS-сообщениях пользователей для продажи третьим сторонам. В качестве альтернативы, оно будет охватывать приложение, которое запрашивает разрешение на доступ к контактным данным, а затем повторно использует эти данные для несвязанного приложения.
Чтобы увидеть более подробную информацию о том, какие виды злоупотребления данными имеют право на программу, вы можете посмотреть на веб-сайте DDPRP . Как и в случае с программой исправления ошибок, любое приложение в Play Store с более чем 100 миллионами установок имеет право.
Награды в предложении за обнаружение ошибок
Предлагаются денежные вознаграждения как за баги за ошибки, так и за программы злоупотребления данными. Сумма, выплаченная за один отчет, зависит от серьезности проблемы. Это также зависит от качества отчета, представляемого в Google.
Награды за программу вознаграждения за безопасность в Google Play варьируются от 5000 до 20 000 долларов США за ошибки удаленного выполнения кода, от 1000 до 3000 долларов за кражу небезопасных личных данных и от 1000 до 3000 долларов за доступ к защищенным компонентам приложения. Кроме того, существуют бонусы за ответственное раскрытие уязвимостей разработчикам приложений. Это дает разработчикам возможность исправить проблему.
Награды за Программу вознаграждения за защиту данных для разработчиков варьируются от 100 до 1000 долларов. Чтобы получить награду, вам нужно будет отправить отчет. Вы должны написать информацию о том, какая политика данных была нарушена, как злоупотребляли данными, а также список случаев, когда приложение нарушало политики.
Зарабатывайте деньги, охотясь за уязвимостями безопасности
Программы Google Bounty и злоупотребления данными дают вам возможность заработать деньги. Они также позволяют вам улучшить безопасность приложений, распространяемых через Play Store. Если вас интересуют дополнительные возможности поиска ошибок, вы можете проверить программы других компаний. Некоторые примеры см. В нашем списке замечательных программ за вознаграждение за ошибку, чтобы заработать карманные деньги. программ за деньги, заработанные за деньги. программ за деньги, заработанные .