На этой неделе сотрудники Google, ответственные за устранение ошибок в программном обеспечении, расширили свою программу вознаграждений за ошибки. Адам Бахус, Себастьян Порст и Патрик Мучлер из Android Security and Privacy опубликовали заявление по этому вопросу, предложив, чтобы они «расширили покрытие GPSRP, чтобы включить все приложения в Google Play со 100 или более миллионами установок». GPSRP – это сокращение от Программы вознаграждений за безопасность в Google Play. Google также запустил новую программу по аналогичному маршруту, которая называется «Программа поощрения защиты данных разработчика» (DDPRP).
Благодаря последней расширенной области действия Программы вознаграждений за безопасность в Google Play ошибки, обнаруженные во всех относительно крупных приложениях в магазине приложений Google Play, потенциально могут претендовать на получение призов. Эта программа работает для ошибок в основном приложении, даже если разработчик приложения не имеет своей собственной программы вознаграждений за ошибки. Google всегда рекомендует разработчикам больших приложений иметь собственную программу раскрытия уязвимостей, но в этом случае она поможет ответственно раскрывать выявленные уязвимости этим разработчикам.
Если у разработчика DO есть программа по раскрытию уязвимостей и программа поиска ошибок, охотники за ошибками могут получать платежи от разработчика и Google. Google будет продолжать работать с разработчиками, общаться с Google Play в рамках программы Application Security Enhancement (ASI), а исследователи безопасности (охотники за ошибками) по-прежнему могут получать платежи от обеих сторон.
Программа поощрения защиты данных разработчиков – это новая программа Google Awards. Программа DDPRP была запущена в сотрудничестве с HackerOne и предназначена для «выявления и уменьшения проблем злоупотребления данными в приложениях Android, проектах OAuth и расширениях Chrome».
С помощью DDPRP Google стремится собирать отчеты о приложениях, которые «нарушают правила Google Play, Google API или программы Google Extensions Chrome Online Store. «Программа хочет найти« четкие и недвусмысленные доказательства неправомерного использования данных », с особым акцентом на« Ситуации, когда пользовательские данные используются или продаются неожиданно или используются несанкционированным образом без согласия пользователя ».
Вы можете найти больше информации о DDPRP на взломщикгде всего с 9 Отчет был завершен прямо сейчас, со средним призом около $ 500 за каждую. Сегодня Google предположил, что на данный момент нет таблицы призов или максимальных призов, но отчет «может принести прибыль в размере 50 000 долларов США».
Add comment