Les chercheurs en sécurité sont tous prêts à recevoir un salaire important, après la récente annonce de Google sur récompenses de bug bounty.
Avec les nouvelles annonces, Google souhaite trouver des bogues dans le Play Store avec l'aide de diverses entreprises. Cette décision aidera Google à étendre la portée de GPSRP (Programme de récompenses de sécurité Google Play) à plusieurs applications Play Store des millions d'installations.
Simultanément, Google a également lancé un programme appelé « Programme de récompense pour la protection des données des développeurs » en alliance avec HackerOne. Le projet vise à trouver divers incidents d'abus de données dans les gadgets Android, les extensions Chrome et les projets OAuth.
- Après la controverse Steam Zero-day, Bug Bounty reçoit des mises à jour récentes de Valve.
- Microsoft a dû débourser des millions en raison de la prime aux bogues l'année dernière.
Prime aux insectes a été initialement lancé en 2010, et depuis lors, Google a versé près de 15 millions de dollars aux chercheurs en sécurité. GPSRP a également financé 256 000 $ sur des lignes similaires.
Avec l'ajout de nouvelles applications Android, Google se rend plus éligible pour gagner des récompenses. Google prévoit d'utiliser les données de vulnérabilité pour développer des contrôles d'analyse automatisés. En faisant cela, Google pourra analyser d'autres applications pour des vulnérabilités similaires.
La Play Console informe tous les développeurs dont l'application contient des bogues, en plus de l'ASI, l'amélioration de la sécurité de l'application fournira des détails sur les failles et les moyens de les corriger. Selon les données publiées par Google, ASI a aidé environ 300 000 développeurs à résoudre les problèmes de bogues.
DDPRS |Programme de récompense pour la protection des données des développeurs
Outre le programme Bug Bounty, Google a également annoncé le lancement de son programme DDPRS. Avec son aide, Google prévoit d'identifier et d'atténuer les problèmes de fuite de données des extensions Chrome, des applications Android et des projets oAuth.
Plutôt que de trouver des failles, il récompensera les experts en sécurité qui détecteront diverses applications qui ont enfreint les politiques de l'API Google, du Google Play Store et de l'extension Chrome Web Store programme.
Tous les abus trouvés qui sont validés gagneront une récompense. Sur la page DDPRS de Hacker's One, Google affiche des informations sur diverses applications qui accèdent aux données des utilisateurs et enfreint sa politique d'autorisation.
Cependant, la récompense qui y est attachée n'est pas très élevée. Cependant, les chercheurs en sécurité peuvent toujours gagner jusqu'à 50 000 $ de prime.
Toutes les extensions Chrome et les applications Android qui abusent des données des utilisateurs seront bloquées et supprimées pour Play Store. De plus, si le développeur est reconnu coupable, son accès à l'API sera également supprimé.