Sicherheitsforscher werden nach der jüngsten Ankündigung von Google über. einen bedeutenden Zahltag erhalten Bug-Bounty-Belohnungen.
Mit den neu gemachten Ankündigungen will Google mit Hilfe verschiedener Firmen Bugs im Play Store finden. Dieser Schritt wird Google helfen, den Anwendungsbereich von GPSRP (Google Play Security Rewards-Programm) zu mehreren Play Store-Apps Millionen von Installationen.
Gleichzeitig hat Google auch ein Programm namens. gestartet „Entwickler-Datenschutz-Prämienprogramm“ in Zusammenarbeit mit HackerOne. Das Projekt zielt darauf ab, verschiedene Vorfälle von Datenmissbrauch in Android-Gadgets, Chrome-Erweiterungen und OAuth-Projekten aufzudecken.
- Nach der Steam-Zero-Day-Kontroverse erhält Bug Bounty die neuesten Updates von Valve.
- Microsoft musste wegen der Bug-Bounty im vergangenen Jahr Millionen berappen.
Bug Bounty wurde ursprünglich im Jahr 2010 auf den Markt gebracht und seitdem hat Google fast 15 Millionen US-Dollar an Sicherheitsforscher gezahlt. GPSRP hat auch $256k auf ähnliche Weise finanziert.
Mit der Einführung neuer Android-Apps macht Google sich selbst besser, Prämien zu verdienen. Google plant, anhand der Schwachstellendaten automatisierte Scan-Checks zu entwickeln. Auf diese Weise kann Google andere Apps auf ähnliche Schwachstellen scannen.
Die Play Console benachrichtigt alle Entwickler, deren App Fehler enthält, zusätzlich liefert ASI, App-Sicherheitsverbesserung Details zu den Lücken und Möglichkeiten, sie zu beheben. Laut den von Google veröffentlichten Daten hat ASI rund 300.000 Entwicklern dabei geholfen, Fehlerprobleme zu beheben.
DDPRS |Entwickler-Datenschutz-Prämienprogramm
Neben dem Bug-Bounty-Programm hat Google auch den Start seines DDPRS-Programms angekündigt. Mit seiner Hilfe plant Google, Datenleckprobleme von Chrome-Erweiterungen, Android-Apps und oAuth-Projekten zu identifizieren und zu mildern.
Anstatt Schlupflöcher zu finden, werden Sicherheitsexperten belohnt, die verschiedene Anwendungen erkennen die gegen die Richtlinien der Google API, des Google Play Store und der Chrome Web Store-Erweiterung verstoßen haben Programm.
Alle gefundenen Missbräuche, die bestätigt werden, erhalten eine Belohnung. Auf der DDPRS-Seite von Hacker's One zeigt Google Informationen zu verschiedenen Apps an, die auf Benutzerdaten zugreifen und gegen seine Berechtigungsrichtlinie verstoßen.
Die damit verbundene Belohnung ist jedoch nicht sehr hoch. Sicherheitsforscher können jedoch immer noch bis zu 50.000 US-Dollar Kopfgeld verdienen.
Alle Chrome-Erweiterungen und Android-Apps, die Benutzerdaten missbrauchen, werden blockiert und für den Play Store entfernt. Wenn der Entwickler für schuldig befunden wird, wird außerdem sein API-Zugriff entfernt.