Google упрощает для исследователей в области безопасности поиск платы за ошибки в Play Store, расширяя сферу действия своей Программы вознаграждений за безопасность в Google Play (GPSRP) на все приложения в своем магазине с 100 миллионами и более установок.
Поисковый гигант также запустил новую программу в сотрудничестве с HackerOne, которая называется Программа поощрения защиты данных разработчиков (DDPRP) и предназначена для обнаружения злоупотреблений данными в приложениях Android, проектах OAuth и расширениях Chrome.
С момента запуска своей программы по вознаграждению за ошибки в 2010 году Google уже заплатил исследователям в области безопасности более 15 миллионов долларов, а GPSRP уже выплатил более 256 тысяч долларов за вознаграждение. Добавляя в программу популярные приложения для Android, компания предоставляет им право на вознаграждение независимо от того, имеют ли разработчики приложения свое собственное сообщение об уязвимости или программу вознаграждения за ошибки.
В обмен на выплату вознаграждения за ошибки Google будет использовать данные об уязвимостях, собранные исследователями безопасности, чтобы помочь создать автоматические проверки, которые сканируют все приложения в Play Store на наличие похожих уязвимостей. Разработчики, чьи приложения содержат ошибки, получают уведомление через консоль Play, а программа App Security Improvement (ASI) предоставит им информацию об уязвимости и способах ее устранения. Еще в феврале Google объявил, что ASI уже помогла более 300 тысячам разработчиков исправить более 1 миллиона приложений в Google Play.
Программа поощрения защиты данных разработчиков
В дополнение к расширению своей текущей программы вознаграждения за ошибки Android, Google также запустил DDPRP для выявления и устранения проблем злоупотребления данными в приложениях Android, проектах OAuth и расширениях Chrome. Вместо того, чтобы находить уязвимости, эта программа вознаградит исследователей в области безопасности, которые находят и сообщают о приложениях, которые нарушили правила программы Google Play, Google API или Chrome Web Store Extensions.
Те, кто может найти доказательства злоупотребления данными, которые могут быть проверены, могут получить оплату. На странице DDPRP на веб-сайте HackerOne Google выделяет приложения, которые обращаются к контактам пользователя, и не обрабатывает эти данные как личные или конфиденциальные данные, а также приложения, которые нарушают его политику разрешений, используя контактные данные без разрешения пользователя для другой службы, не связанной с оригинальное приложение.
Компания не предоставила максимальную сумму вознаграждения, но в зависимости от ее влияния, один отчет может принести исследователю безопасности награду в 50 тысяч долларов.
Приложения Android и расширения Chrome, которые злоупотребляют данными пользователя, будут удалены из соответствующих магазинов, и если разработчик также обнаружит злоупотребление доступом к областям с ограниченным доступом Gmail, их доступ к API будет удален.
Via VentureBeat
Add comment