Annonse
Hvis du er en Android-apputvikler med nesen for å jakte på sikkerhetsproblemer, kan du få betalt for å låne ferdighetene dine til Google. Hackere har klart å plante malware-infiserte apper i Google Play Store, hvorav noen fikk millioner av nedlastinger.
Som svar har Google åpnet bug-bounty-programmet som lar utviklere grave etter sikkerhetsproblemer i vanlige apper. Tidligere var bare noen få apper dekket. Nå er alle populære Play Store-apper en del av programmet. Programmet utbetaler kontantbelønning for utviklere som finner og rapporterer sikkerhetsproblemer.
Hvorfor Google har et bug Bounty-program
Google har hatt et bounty-program for egne apper i lang tid. Som mange selskaper, Google tilbyr belønning til utviklere som avdekker problemer på nettsteder Google betaler deg $ 100 + hvis du bare hjelper demGoogle har betalt hundretusenvis av dollar til vanlige brukere for å gjøre en enkel ting. Les mer . Det gir også fordeler for å finne feil i Chrome-nettleseren eller Chrome-operativsystemet. Men den siste tiden har det tatt det mer radikale skrittet å tilby belønninger for feil som finnes i andre selskapers apper også.
Den første iterasjonen av programvareprogrammet for Play Store-buggen ga bare anvendelse på et veldig lite antall toppapper. Nå har Google utvidet programmet til å dekke alle apper i Play Store med mer enn 100 millioner installasjoner. Dette betyr at det er mange flere muligheter for feiljegere å oppdage problemer i Play Store-apper og bli belønnet for å rapportere dem, selv om apputviklerne ikke tilbyr sin egen feilbelønning programmer.
Google sier at det introduserte dette programmet i håp om å "oppmuntre samfunnet til å hjelpe oss med å forbedre sikkerheten for alle". Derfor oppfordrer det bugjegere som oppdager en feil til å rapportere den til apputviklerne så vel som til Google. Dette gir de originale apputviklerne sjansen til å fikse feilen raskt. Og det betyr bedre sikkerhet for alle som bruker Android-apper.
Slik blir du involvert i Bug Bounty-programmet
Play Store-feilbelønningssystemet kalles Google Play sikkerhetsbelønningsprogram (GPSRP). Google inviterer sikkerhetsforskere og apputviklere til å delta. Det første trinnet er å fylle ut et applikasjon å delta i programmet. Du kan se etter sikkerhetsproblemer i alle kvalifiserte apper i Play Store når du er godkjent.
Det er tre typer sårbarhet som deltakerne ser etter. For det første er sårbarheter med ekstern kjøring av kode de som lar en hacker få tilgang til brukerens enhet og gjøre endringer. Dette er veldig alvorlige sikkerhetsproblemer.
For det andre er det spørsmålet om tyveri av usikre private data. Det er her en sårbarhet lar en hacker stjele personlig informasjon, for eksempel påloggingsinformasjon, netthistorikk eller kontaktlister.
For det tredje er det tilgang til beskyttede appkomponenter. Dette refererer til apper som utfører funksjoner som de ikke har tillatelse til. For eksempel en app som sender SMS-meldinger selv om den ikke har tillatelse fra brukeren til å gjøre det.
Programmet dekker ikke noen sikkerhetsproblemer. For eksempel er phishing-angrep, selv om de er potensielt farlige, ikke kvalifiserte. Dette er fordi de fungerer ved å lure brukeren og ikke ved å kjøre ondsinnet kode. Programmet dekker heller ikke angrep som krever fysisk tilgang til en enhet.
Når du oppdager en feil, bør du kontakte appens utvikler for å gi dem beskjed. Deretter kan du samarbeide med utvikleren for å løse problemet. Når sårbarheten er løst, kan du kreve kontantbelønningen din fra Google.
Tjen beløp for å oppdage misbruk av data av apper
Google tilbyr ikke bare belønning for å finne sikkerhetsfeil. Den prøver å slå ned på apper som også stjeler brukerdata. Nylig lanserte selskapet sin Belønningsprogram for utviklere (DDPRP) som tilbyr lignende belønning for utviklere som avdekker misbruk av data fra apper.
Typene misbruk av data som programmet leter etter er apper som samler inn og selger brukerdata på en måte som er i strid med Googles personvernregler. For eksempel kan dette være en app som samler inn data fra brukernes kontaktbøker som metadata som viser hvem de ringte og når, uten å beskytte dette som sensitive data.
Det vil også dekke apper som bryter regler om tillatelser, for eksempel en app som har tilgang til SMS-tillatelser, men bruker dette til å samle inn data om brukernes SMS-meldinger for å selge videre til tredje parter. Alternativt vil det dekke en app som ber om tillatelse til å få tilgang til kontaktdata og deretter gjenbruker disse dataene for en ikke-relatert app.
Hvis du vil se flere detaljer om nøyaktig hva slags datamisbruk som kvalifiserer for programmet, kan du se på DDPRP nettsted. Som med bugpremieringsprogrammet, er alle apper i Play Store med mer enn 100 millioner installasjoner kvalifisert.
Belønningen som tilbys for å oppdage feil
Det tilbys kontantbelønning for både feilpremier og programmene for misbruk av data. Beløpet som utbetales for en rapport avhenger av alvorlighetsgraden av problemet. Det avhenger også av kvaliteten på rapporten som er sendt til Google.
Belønningen for Google Play Security belønningsprogram varierer fra $ 5000 til $ 20 000 for ekstern kjøring av kodefeil, fra $ 1000 til $ 3000 for tyveri av usikre private data, og fra $ 1000 til $ 3000 for tilgang til beskyttet app komponenter. I tillegg er det bonuser for å avsløre sårbarhetene til apputviklerne på en ansvarlig måte. Dette gir utviklerne muligheten til å løse problemet.
Belønningen for Developer Data Protection Reward Program varierer fra $ 100 til $ 1000. For å kreve belønningen, må du sende inn en rapport. Du bør skrive informasjon om hvilken datapolitikk som ble brutt, hvordan data ble misbrukt, og en liste over tider da appen brøt retningslinjene.
Tjen penger ved sikkerhetsproblemer med jakt
Googles dusørprogrammer for bounty og misbruk av data gir deg sjansen til å tjene penger. De lar deg også hjelpe til med å forbedre sikkerheten til apper som distribueres gjennom Play Store. Hvis du er interessert i flere muligheter for feiljakt, kan du også sjekke ut andre selskapers programmer. For noen eksempler, se vår liste over kjempefine bug-dusørprogrammer for å tjene lommepenger 25 Awesome "Bug Bounty" -programmer for å tjene lommepengerHvis du har ekspertise innen sikkerhetsprotokoller, kan du tjene litt ekstra penger på jakt etter feil i populære apper og nettsteder, og bli belønnet med en feilbeløp. Her er de best betalte programmene i 2016. Les mer .
Georgina er en vitenskaps- og teknologiforfatter som bor i Berlin og har en doktorgrad i psykologi. Når hun ikke skriver, er hun vanligvis å finne på å pusse med PC-en eller sykle, og du kan se mer av hennes skriving på georginatorbet.com.