A biztonsági kutatók jelentős fizetésnapot fognak kapni, a Google legutóbbi bejelentése után bug bounty jutalmak.
Az újonnan megjelent bejelentésekkel a Google különböző cégek segítségével szeretné megtalálni a hibákat a Play áruházban. Ez a lépés segíteni fogja a Google-t, hogy kiterjessze a hatókörét GPSRP (Google Play Security Rewards Program) több Play Áruház alkalmazáshoz több millió telepítést hajtanak végre.
Ezzel párhuzamosan a Google is elindította az ún „Fejlesztői adatvédelmi jutalomprogram” szövetségben a HackerOne-nal. A projekt célja az adatokkal való visszaélés különböző incidenseinek felkutatása Android-modulokban, Chrome-bővítményekben és OAuth-projektekben.
- A Steam Zero-day vitája után a Bug Bounty friss frissítéseket kap a Valve-tól.
- A Microsoftnak milliókat kellett kifizetnie tavaly a bug bounty miatt.
Bug Bounty eredetileg 2010-ben indult, és azóta a Google közel 15 millió dollárt fizetett biztonsági kutatóknak. A GPSRP 256 000 dollárt is finanszírozott hasonló vonalakon.
Az új Android-alkalmazások hozzáadásával a Google alkalmasabbá teszi magát jutalmakra. A Google azt tervezi, hogy a sebezhetőségi adatokat automatizált vizsgálati ellenőrzések kifejlesztésére használja fel. Ezzel a Google képes lesz más alkalmazásokban is átvizsgálni a hasonló biztonsági réseket.
A Play Console értesíti az összes fejlesztőt, akinek az alkalmazása hibákat tartalmaz, emellett az ASI, az alkalmazásbiztonsági fejlesztések részletes tájékoztatást adnak a kiskapukról és azok kijavításának módjairól. A Google által közzétett adatok szerint az ASI körülbelül 300 000 fejlesztőnek nyújtott segítséget a hibák kijavításában.
DDPRS |Fejlesztői adatvédelmi jutalomprogram
A Bug Bounty program mellett a Google bejelentette DDPRS programjának elindítását is. Segítségével a Google azt tervezi, hogy azonosítja és enyhíti a Chrome-bővítményekből, Android-alkalmazásokból és oAuth-projektekből származó adatszivárgási problémákat.
A kiskapuk keresése helyett a biztonsági szakértőket jutalmazza, akik felismerik a különféle alkalmazásokat amelyek megsértették a Google API, a Google Play Áruház és a Chrome Internetes áruház bővítményének irányelveit program.
Minden talált visszaélés, amelyet érvényesítenek, jutalmat kap. A Hacker's One DDPRS oldalán a Google információkat jelenít meg a különböző alkalmazásokról, amelyek hozzáférnek a felhasználói adatokhoz, és megszegik az engedélyekre vonatkozó szabályzatát.
A hozzá kapcsolódó jutalom azonban nem túl magas. A biztonsági kutatók azonban továbbra is akár 50 000 dolláros jutalmat kereshetnek.
Minden olyan Chrome-bővítmény és Android-alkalmazás, amelyről kiderül, hogy visszaél a felhasználói adatokkal, le lesz tiltva, és eltávolítjuk a Play Áruházból. Ezenkívül, ha a fejlesztőt bűnösnek találják, az API-hozzáférése is megszűnik.