Badacze bezpieczeństwa są przygotowani na otrzymanie znaczącej wypłaty, jak niedawne ogłoszenie po Google na temat nagrody za błędy.
Dzięki nowo ogłoszonym zapowiedziom Google chce znaleźć błędy w sklepie Play za pomocą różnych firm. To posunięcie pomoże Google rozszerzyć zakres GPSRP (program nagród za bezpieczeństwo w Google Play) do wielu aplikacji ze Sklepu Play będą miliony instalacji.
Jednocześnie firma Google uruchomiła również program o nazwie „Program nagród dla programistów za ochronę danych” w sojuszu z HackerOne. Projekt ma na celu znalezienie różnych przypadków nadużyć danych w gadżetach na Androida, rozszerzeniach Chrome i projektach OAuth.
- Po kontrowersji Steam Zero-day, Bug Bounty otrzymuje najnowsze aktualizacje od Valve.
- Microsoft musiał wyłożyć miliony z powodu bug bounty w zeszłym roku.
Nagroda za błąd został wprowadzony na rynek w 2010 roku i od tego czasu Google zapłacił badaczom bezpieczeństwa blisko 15 milionów dolarów. GPSRP sfinansował również 256 tys. dolarów na podobnych liniach.
Dzięki dodaniu nowych aplikacji na Androida firma Google zwiększa swoje kwalifikacje do zdobywania nagród. Google planuje wykorzystać dane dotyczące luk w zabezpieczeniach do opracowania automatycznych kontroli skanowania. Dzięki temu Google będzie mógł skanować inne aplikacje pod kątem podobnych luk w zabezpieczeniach.
Konsola Play powiadomi wszystkich programistów, których aplikacja zawiera błędy, dodatkowo ASI, poprawa bezpieczeństwa aplikacji poda szczegółowe informacje o lukach i sposobach ich naprawy. Zgodnie z danymi opublikowanymi przez Google, ASI pomogło około 300 tysiącom programistów w naprawie błędów.
DDPRS |Program nagród dla programistów za ochronę danych
Oprócz programu Bug Bounty firma Google ogłosiła również uruchomienie swojego programu DDPRS. Z jego pomocą Google planuje identyfikować i łagodzić problemy z wyciekiem danych z rozszerzeń Chrome, aplikacji na Androida i projektów oAuth.
Zamiast znajdować luki, nagrodzi ekspertów ds. bezpieczeństwa, którzy wykryją różne aplikacje które naruszyły zasady Google API, Google Play Store i rozszerzenia Chrome Web Store program.
Wszystkie znalezione nadużycia, które zostaną zatwierdzone, otrzymają nagrodę. Na stronie DDPRS w Hacker’s One Google wyświetla informacje o różnych aplikacjach, które uzyskują dostęp do danych użytkowników i łamią zasady dotyczące uprawnień.
Jednak nagroda z nim związana nie jest zbyt wysoka. Jednak badacze bezpieczeństwa wciąż mogą zarobić nawet do 50 000 USD.
Wszystkie rozszerzenia Chrome i aplikacje na Androida, które nadużywają danych użytkowników, zostaną zablokowane i usunięte ze Sklepu Play. Dodatkowo, jeśli deweloper zostanie uznany za winnego, jego dostęp do API również zostanie usunięty.