Похоже, что недавний всплеск числа загруженных вредоносными программами приложений, которым удалось собрать миллионы загрузок, заставил Google пересмотреть свою стратегию защиты данных. Чтобы эффективно противостоять угрозам, Google расширил сферу действия своей программы вознаграждений за безопасность в Google Play (GPSRP), чтобы охватить все приложения, которые собрали более 100 миллионов загрузок в магазине Play. Это фактически означает, что Google предоставляет вознаграждение за поиск уязвимостей в сторонних приложениях. Кроме того, в сотрудничестве с HackerOne компания также запустила Программу вознаграждения за защиту данных для разработчиков (DDPRP) для выявления и устранения проблем злоупотребления данными, обнаруженных в приложениях Android, проектах OAuth и расширениях Chrome.
Google активно удаляет загруженные вредоносными программами приложения из Play Store, но компании приходится с этим с трудом, особенно когда некоторые очень популярные приложения оказываются замешанными. Возьмем, к примеру, приложение CamScanner, которое было загружено более 100 миллионов раз, но недавно было загружено из магазина Play Store для заполнения рекламной вредоносной программы. Чтобы более эффективно сдерживать такие случаи, Google расширил свою программу вознаграждений за безопасность в Google Play (GPSRP), чтобы охватить все приложения, которые загрузили 100 миллионов и более загрузок в Play Store.
Исследователи безопасности теперь могут собирать вознаграждение за обнаружение уязвимостей и серьезных ошибок безопасности в соответствующих приложениях, даже если разработчики не запускают программу вознаграждений за ошибки. И в случае, если существует программа вознаграждения за ошибки на стороне разработчика, исследователи могут получить вознаграждение от них, а также от Google в качестве дополнительного стимула. Что касается наград, то обнаружение уязвимости RCE (удаленное выполнение кода) принесет исследователю безопасности 20 000 долларов (примерно 14 311 000 рупий). Обнаружение уязвимостей, которые приводят к краже данных, будет вознаграждено 3000 долл. США (примерно 2,15 000 рупий), в то время как те, которые касаются доступа к защищенному компоненту приложения, принесут искателю эквивалентную сумму.
В дополнение к настройке программы вознаграждения за ошибки, Google также представила Программу вознаграждения за защиту данных разработчика (DDPRP) в сотрудничестве с HackerOne. Целью DDRP является «выявление и устранение проблем злоупотребления данными в популярных приложениях Android, проектах OAuth и расширениях Chrome». Под эгидой DDPRP Google будет поощрять разработчиков, которые находят приложения, нарушающие правила Google Play, Google API или программы Google Chrome Web Store.
Приложения, которые обрабатывают локальные телефонные данные, те, которые передают конфиденциальную информацию сторонним рекламодателям – расширение, которое нарушает минимальные требования конфиденциальности Chrome Web Store о конфиденциальности пользовательских данных, относятся к числу случаев, которые Google хочет идентифицировать и устранить.
В случае обнаружения злоупотребления данными приложение или расширение Chrome будут должным образом удалены из Play Store и Google Chrome Web Store. Аналогичным образом, участие в злоупотреблении доступом к областям с ограниченным доступом Gmail приведет к удалению доступа API. Пиковое вознаграждение еще не указано, но исследователи в области безопасности могут рассчитывать на получение вознаграждения в размере до 50 000 долларов (примерно 36 800 000 рупий), если обнаружение будет действительно эффективным
Add comment