Hirdetés

Ha Ön egy Android alkalmazás fejlesztője, akinek orra van a biztonsági problémák leküzdésében, fizetést kaphat a készségek kölcsönadása a Google-nak. A hackereknek sikerült rosszindulatú programokkal fertőzött alkalmazásokat telepíteni a Google Play Áruházba, amelyek közül néhány millió letöltésre került.

Erre válaszul a Google megnyitotta a bug bounty programját, amely lehetővé teszi a fejlesztők számára, hogy a biztonsági alkalmazások során felvegyék a figyelmet a közös alkalmazásokban. Korábban csak néhány alkalmazás került lefedettségre. Most az összes népszerű Play Áruház-alkalmazás része a programnak. A program pénzbeli jutalmat fizet azoknak a fejlesztőknek, akik megtalálják és jelentik a biztonsági problémákat.

Miért van a Google Bug Bounty program?

A Google-nak már hosszú ideje van hibajavító programja a saját alkalmazásai számára. Mint sok cég, a Google jutalmat kínál azoknak a fejlesztőknek, akik feltárják a webhelyek problémáit A Google 100 dollárt fog fizetni +, ha csak segítesz nekik

A Google több százezer dollárt fizetett ki a rendszeres felhasználóknak azért, hogy elvégezzék egy egyszerű dolgot. Olvass tovább . Jutalmat kínál továbbá a Chrome böngészője vagy a Chrome operációs rendszer hibáinak feltárásáért. Az utóbbi időben azonban radikálisabb lépést tett azért, hogy jutalmakat nyújtson a más vállalatok alkalmazásaiban is megtalálható hibákért.

A Play Store bug bounty programjának első iterációja csak nagyon kis számú legnépszerűbb alkalmazásra vonatkozott. A Google most kibővítette a programot, hogy az a Play Áruházban lévő összes alkalmazásra kiterjedjen, több mint 100 millió telepítéssel. Ez azt jelenti, hogy a hibakeresőknek sokkal több lehetősége van felfedezni a problémákat a Play Áruház alkalmazásokban és jutalmat kap a jelentéséért, még akkor is, ha az alkalmazásfejlesztők nem kínálnak saját hibajavaslatot programokat.

A Google azt állítja, hogy bevezeti ezt a programot azzal a reménytel, hogy „ösztönözze a közösséget, hogy segítsen nekünk mindenki biztonságának javításában”. Ezért arra ösztönzi a hibakeresőket, akik felfedeznek egy hibát, hogy jelentsék azt az alkalmazásfejlesztőknek és a Google-nak. Ez lehetőséget ad az eredeti alkalmazásfejlesztőknek a hiba gyors javítására. És ez jobb biztonságot jelent mindenki számára, aki Android-alkalmazásokat használ.

Hogyan lehet részt venni a Bug Bounty programban

Keressen pénzt biztonsági problémák keresésével a Google Play Alkalmazásokban - Play Áruház

A Play Store bug bounty sémáját úgy hívják: Google Play biztonsági jutalomprogram (GPSRP). A Google felkéri a biztonsági kutatókat és az alkalmazásfejlesztőket a részvételre. Az első lépés egy kitöltése Alkalmazás csatlakozni a programhoz. A jóváhagyást követően a Play Áruház bármely támogatható alkalmazásában megkeresheti a biztonsági kérdéseket.

A sérülékenységnek három típusa van, amelyeket a résztvevők keresnek. Először: a távoli kódfuttatást lehetővé tévő biztonsági rések azok, amelyek lehetővé teszik a hackerek számára a felhasználói eszközhöz való hozzáférést és a változtatások végrehajtását. Ezek nagyon súlyos biztonsági kérdések.

Másodszor, a nem biztonságos személyes adatok lopásának kérdése van. Ebben az esetben a sebezhetőség lehetővé teszi a hackerek számára, hogy eltulajdonítsanak személyes információkat, például bejelentkezési információkat, internetes előzményeket vagy névjegyeket.

Harmadszor, van hozzáférés a védett alkalmazáskomponensekhez. Ez olyan alkalmazásokra vonatkozik, amelyek olyan funkciókat hajtanak végre, amelyekre nincs engedélyük. Például egy alkalmazás, amely SMS-üzeneteket küld, még akkor is, ha nem rendelkezik a felhasználó engedélyével erre.

A program nem foglalkozik néhány biztonsági kérdéssel. Például az adathalász támadások, bár potenciálisan veszélyesek, nem minősülnek minősítettnek. Ennek oka az, hogy a felhasználó megtévesztésével működnek, és nem rosszindulatú kód futtatásával működnek. A program nem terjed ki olyan támadásokra sem, amelyek fizikai hozzáférést igényelnek egy eszközhöz.

Miután felfedezte a hibát, vegye fel a kapcsolatot az alkalmazás fejlesztőjével, és tudassa velük. Ezután együttműködhet a fejlesztővel a probléma megoldásában. Miután a biztonsági rést megszüntették, pénzbeli jutalmat követelhet a Google-tól.

Keress pénzt az alkalmazások által történő visszaélések felfedezésével

Keressen pénzt biztonsági problémák keresésében a Google Play Apps alkalmazásban - adat visszaélés

A Google nemcsak jutalmakat kínál a biztonsági hibák felkutatása érdekében. Megpróbálja megtámadni azokat az alkalmazásokat, amelyek ellopják a felhasználói adatokat is. A közelmúltban a cég elindította Fejlesztői adatvédelmi jutalomprogram (DDPRP), amely hasonló jutalmakat kínál azoknak a fejlesztőknek, akik felfedik az alkalmazások általi visszaéléseket.

Az adatokkal való visszaélés típusa, amelyet a program keres, az olyan alkalmazások, amelyek felhasználói adatokat gyűjtenek és értékesítenek a Google adatvédelmi irányelveivel ellentétes módon. Például ez lehet egy alkalmazás, amely adatokat gyűjt a felhasználók névjegyzékéből, például metaadatokból, megmutatva, ki és mikor hívták őket, anélkül, hogy ezt érzékeny adatként megvédnénk.

Ide tartozna az olyan alkalmazások, amelyek megsértik az engedélyekkel kapcsolatos szabályokat, például olyan alkalmazások, amelyek hozzáféréssel rendelkeznek az SMS-engedélyekhez, de ezt felhasználja adatok gyűjtésére a felhasználók SMS-üzeneteiről, amelyeket harmadik személynek adhat el a felek. Alternatív megoldásként lefedi egy olyan alkalmazást, amely engedélyt kér a kapcsolattartási adatok eléréséhez, majd újra felhasználja ezeket az adatokat egy független alkalmazás számára.

Ha további részleteket szeretne megtudni arról, hogy milyen típusú visszaélések minősülnek a programnak, akkor nézze meg a A DDPRP weboldala. A bug bounty programhoz hasonlóan a Play Áruházban minden olyan alkalmazás, amely több mint 100 millió telepítéssel rendelkezik, támogatható.

A felajánlott jutalmak a hibák felfedezéséért

Vannak pénzbeli jutalmak is a hibajavaslatért és az adatokkal való visszaélés elleni programokért. Az egyik jelentésért kifizetett összeg a kiadás súlyosságától függ. Ez a Google-nak benyújtott jelentés minőségétől is függ.

A Google Play Biztonsági Jutalmazási Program jutalma 5000 és 20 000 dollár között van a távoli kódfuttatással kapcsolatos hibákért, 1000 dollártól 3000 dollárig a nem biztonságos személyes adatok ellopása esetén, és 1000 dollártól 3000 dollárig a védett alkalmazásokhoz való hozzáférésért alkatrészek. Ezenkívül bónuszokat kínálunk a biztonsági réseknek az alkalmazásfejlesztők felé történő felelősségteljes nyilvánosságra hozataláért. Ez lehetőséget ad a fejlesztőknek a probléma javítására.

A fejlesztői adatvédelmi jutalomprogram jutalma 100 dollártól 1000 dollárig terjed. A jutalom igényléséhez jelentést kell benyújtania. Írjon információt arról, hogy melyik adatvédelmi irányelvet sértették meg, hogyan bántalmazták az adatokat, és fel kell sorolnia azokat az időpontokat, amikor az alkalmazás megsértette az irányelveket.

Keress pénzt a biztonsági rés vadászatával

A Google által a bug bounty és az adat visszaélésekkel foglalkozó bounty programok lehetővé teszik a pénzkeresést. Ezenkívül segítenek a Play Áruházon keresztül terjesztett alkalmazások biztonságának javításában is. Ha további hibakeresési lehetőségek iránt érdeklődik, akkor nézd meg más cégek programjait is. Néhány példát a következő listán talál félelmetes bug bounty programok zsebpénzt keresni 25 félelmetes "Bug Bounty" program a zsebpénz megszerzéséreHa tapasztalata van a biztonsági protokollokban, kereshet némi extra pénzt a népszerű alkalmazásokban és webhelyeken található hibák vadászatával, és megkaphatja a hibagarancia díját. Itt vannak a 2016-ban a legjobban fizető programok. Olvass tovább .

Georgina tudományos és technológiai író, Berlinben él, pszichológiával rendelkezik. Amikor még nem ír, általában azt találják, hogy a számítógépével foglalkozik vagy biciklizik, és többet írhat a georginatorbet.com oldalon.