I ricercatori di sicurezza sono pronti per ricevere un significativo giorno di paga, dopo il recente annuncio di Google su ricompense bug bounty.
Con gli annunci appena fatti, Google vuole trovare bug nel Play Store con l'aiuto di varie aziende. Questa mossa aiuterà Google ad espandere l'ambito di GPSRP (Programma di premi per la sicurezza di Google Play) a più app del Play Store ci saranno milioni di installazioni.
Contemporaneamente, Google ha anche lanciato un programma chiamato "Programma di ricompensa per la protezione dei dati degli sviluppatori" in alleanza con HackerOne. Il progetto mira a trovare vari incidenti di abuso di dati in gadget Android, estensioni di Chrome e progetti OAuth.
- Dopo la controversia di Steam Zero-day, Bug Bounty riceve recenti aggiornamenti da Valve.
- Microsoft ha dovuto sborsare milioni a causa del bug bounty l'anno scorso.
Bug Bounty è stato inizialmente lanciato nel 2010 e da allora Google ha pagato quasi 15 milioni di dollari ai ricercatori di sicurezza. GPSRP ha anche finanziato $ 256k su linee simili.
Con l'aggiunta delle nuove app Android, Google si sta rendendo più idoneo a guadagnare premi. Google sta pianificando di utilizzare i dati di vulnerabilità per sviluppare controlli di scansione automatizzati. In questo modo, Google sarà in grado di scansionare altre app alla ricerca di vulnerabilità simili.
Play Console informa tutti gli sviluppatori la cui app contiene bug, inoltre ASI, il miglioramento della sicurezza dell'app fornirà dettagli sulle scappatoie e sui modi per risolverli. Secondo i dati rilasciati da Google, ASI ha aiutato circa 300k sviluppatori a risolvere i problemi di bug.
DDPRS |Programma di ricompensa per la protezione dei dati degli sviluppatori
Oltre al programma Bug Bounty, Google ha anche annunciato il lancio del suo programma DDPRS. Con il suo aiuto, Google prevede di identificare e mitigare i problemi di perdita di dati da estensioni di Chrome, app Android e progetti oAuth.
Piuttosto che trovare scappatoie, ricompenserà gli esperti di sicurezza che rileveranno varie applicazioni che hanno violato le norme dell'API di Google, del Google Play Store e dell'estensione del Chrome Web Store programma.
Tutti gli abusi trovati che vengono convalidati guadagneranno un premio. Nella pagina DDPRS di Hacker's One, Google visualizza informazioni su varie app che accedono ai dati degli utenti e infrange la sua politica di autorizzazione.
Tuttavia, la ricompensa ad essa collegata non è molto alta. Tuttavia, i ricercatori di sicurezza possono ancora guadagnare fino a $ 50.000 di taglia.
Tutte le estensioni di Chrome e le app Android rilevate che abusano dei dati degli utenti verranno bloccate e rimosse dal Play Store. Inoltre, se lo sviluppatore viene ritenuto colpevole, anche il suo accesso all'API verrà rimosso.