Nový program Google Bug Bounty Loví nedostatky v aplikacích pro Android

Anonim
Největší odměny za chyby

Společnost Google nyní nabízí program odměn za chyby pro aplikace na Google Play a partnerství s HackerOne, aby se program Google Rewards Security Rewards stal skutečností, společnost dnes oznámila na své vývojové konferenci Playtime pro vývojáře.

Iniciativa začne s aplikacemi Google již v obchodě Play, Vineet Buchová, ředitelka produktového managementu pro aplikace a hry Google Play, uvedla pro PCMag. Do programu bude se souhlasem vývojářů zahrnuto i několik aplikací třetích stran, než se rozšíří na „pokrytí tolika aplikací, kolik můžeme, “ řekl Buch.

„Program nám pomůže najít bezpečnostní chyby a upozorní vývojáře prostřednictvím bezpečnostních doporučení, jak je opravit, “ napsal Buch v blogu. „Doufáme, že naše další odměnové programy přinesou úspěch, a vyzýváme vývojáře a výzkumnou komunitu, aby s námi spolupracovali na aktivním zlepšování zabezpečení ekosystému Google Play.“

Platit za chyby

V programu odměn za chyby společnosti vyplácejí odměny za chyby a bezpečnostní chyby zjištěné vědci nebo dokonce členy veřejnosti. Hledači chyb předkládají svá zjištění, a pokud se prokáže, že jsou oprávněni, společnost uděluje odměnu. V mnoha případech mají společnosti posuvné měřítko pro odměny a vyplácejí větší částky za nebezpečnější objevy.

Buch řekl PCMag, že HackerOne bude zpracovávat informace získané od vědců, ale Google je za penězi. „Pokud by to byla zpráva o pohřešované osobě, jsme lidé, kteří za informace poskytují odměnu, “ vysvětlil Buch. "HackerOne je policie."

Vědci, kteří se chtějí zúčastnit, předloží svá zjištění přímo vývojářům aplikací zapojených do programu. Jakmile je zranitelnost vyřešena, výzkumník ji odešle společnosti HackerOne. Na základě kritérií zranitelnosti společnosti Google vyplatí společnost odměnu ve výši 1 000 $. V budoucnu mohou být přidána další kritéria, která vytvářejí další možnosti odměn, uvedla Google.

Mezi příklady takových chyb, které Google hledá, patří vzdálené provádění libovolného kódu, manipulace s uživatelským rozhraním, které vede k podvodné transakci, a pomocí integrovaného prohlížeče webového prohlížeče přejděte na web phishing. Stručně řečeno, opravdu velké věci.

Lovci chyb

Výhodou programů odměn za chyby je, že odměňují inteligentní výzkum, ale také motivují k etickému odhalení zranitelných míst. Případní útočníci mají nyní na výběr mezi přeměnou škodlivého výzkumu na rychlou legální hotovost, namísto riskování pokusu o zisk z nezákonné činnosti.

Příbuzný

  • 8 neobvyklých programů Bounty Bug nabízející velké peníze 8 neobvyklých programů Bounty Bug nabízející velké peníze

Nový program odplaty za chyby společnosti Google je jen nejnovější v řadě snah o zlepšení zabezpečení Androidu, a to jak v kódu, tak v myslích široké veřejnosti. Před dvěma lety se společnost zavázala provádět měsíční aktualizace zabezpečení poté, co provedla největší softwarovou opravu v historii, aby odstranila zranitelnost Stagefright. Spolu s aktualizacemi zabezpečení pro Android O, Google také začal upozorňovat na to, kolik prověrek se děje v samotné Google Play připojením malého zeleného štítu k aplikacím v obchodě Play.

Dnešní oznámení bylo jen jednou z mnoha na konferenci vývojářů Playtime, která se koná v Berlíně a San Franciscu a upozorňuje na nové iniciativy pro vývojáře. Za zmínku stojí snaha hostit více okamžitých aplikací, které pro správnou funkci nevyžadují instalaci od uživatelů. Pozoruhodná je také nová iniciativa na zlepšení retence předplatného snížením transakčního poplatku společnosti Google o 30 procent na 15 procent u předplatného, ​​který trval déle než rok.