Как да печелите пари, като намирате проблеми със сигурността в приложенията за Android

Ако сте разработчик на приложения за Android със способността да откривате проблеми със сигурността, можете да печелите пари, като покажете таланта си на Google. Хакери пренесоха приложения, заразени със зловреден софтуер, в Google Play Store, някои от които имаха милиони изтегляния.

В отговор на това Google отвори програма Bug Bounty (програма за награди за уязвимости, открити от потребителите), която позволява на разработчиците да откриват проблеми със сигурността в много популярни приложения. Преди бяха включени само няколко приложения. Сега всички популярни приложения на Play Store са част от програмата. Програмата изплаща парични награди на разработчиците, които открият и докладват проблеми със сигурността.

Откриване на проблеми със сигурността в приложенията за Android - Вашата възможност да правите пари от Google

• Защо Google създаде програмата Bug Bounty?
• Как да участвате в програмата Bug Bounty?
• Печелете награди за откриване на злоупотреба с данни от самите приложения
• Каква е наградата за намиране на конкретен бъг?

Защо Google създаде програмата Bug Bounty?

Google има програма за награди за грешки за собствените си приложения от дълго време. Подобно на много компании, Google предлага награди на разработчици, които открият проблеми в нейните уебсайтове. Компанията също така предлага награди за намиране на грешки в своя браузър Chrome или операционна система Chrome. Но наскоро Google направи една крачка напред, като предложи награди за грешки, открити и в приложения на много други компании.

Първата стъпка от програмата Play Store Bug Bounty се отнася само за много малък брой топ приложения. Сега Google разшири програмата, за да обхване всяко приложение в Play Store с над 100 милиона инсталирания. Това означава, че има повече възможности за ловците на грешки да откриват проблеми в приложенията на Play Store и да бъдат възнаградени за докладването им, дори ако разработчиците на приложения не предлагат програми за грешки.

Google каза, че е въвела горната програма с надеждата да насърчи общността да се обедини, за да подобри сигурността за всички. Затова Google насърчава ловците на грешки да откриват проблеми и да ги докладват на разработчиците на приложения и Google. Това дава възможност на местните разработчици на приложения бързо да коригират грешки. А това означава по-добра сигурност за всички, които използват приложения за Android.

Как да участвате в програмата Bug Bounty?

Програмата Bug Bounty в Play Store се нарича Google Play Security Reward Program (GPSRP) . Google кани изследователи по сигурността и разработчици на приложения да участват. Първата стъпка е да попълните формуляр за кандидатстване за участие в програмата. Можете да търсите проблеми със сигурността във всяко отговарящо на условията приложение в Play Store, след като бъде одобрено.

Има три вида уязвимости, които участниците търсят. Първо, уязвимостите при отдалечено изпълнение на код са уязвимости, които позволяват на хакерите да получат достъп до устройството на потребителя и да направят промени. Това са много сериозни проблеми със сигурността.

На второ място е проблемът с кражбата на незащитени лични данни. Това е мястото, където уязвимостта позволява на хакерите да откраднат лична информация, като идентификационни данни за вход, уеб история или списъци с контакти.

Трето е достъпът до защитени компоненти на приложението. Това се отнася за приложения, които изпълняват функции, за които нямат разрешение. Например, приложение изпраща SMS съобщения, дори когато няма разрешението на потребителя за това.

Програмата не покрива някои проблеми със сигурността. Например фишинг атаките , въпреки че са потенциално много опасни, не отговарят на условията за програмата. Причината е, че те действат чрез измама на потребителите, а не чрез стартиране на зловреден код. Програмата също така не покрива атаки, които изискват физически достъп до устройството.

Когато откриете грешка, трябва да се свържете с разработчика на приложението, за да го уведомите. След това можете да работите заедно с този разработчик, за да коригирате проблема. След като уязвимостта бъде разрешена, можете да поискате парична награда от Google.

Печелете награди за откриване на злоупотреба с данни от самите приложения

Google не предлага само награди за намиране на грешки в сигурността. Компанията също така се опитва да "потисне" приложения, които крадат потребителски данни. Наскоро компанията стартира програмата за награди за защита на данните за разработчици (DDPRP) , която предлага подобни награди на разработчици, които разкрият злоупотреба с данни от приложения.

Видовете злоупотреби с данни, които програмата търси, са приложения, които събират и продават потребителски данни по начини, които противоречат на правилата за поверителност на Google. Например, това може да е приложение, което събира данни от книгите с контакти на потребителите, като метаданни за това на кого са се обадили и кога, без да бъдат защитени като чувствителни данни.

Програмата ще включва и приложения, които нарушават правилата за разрешения, като например приложения, които имат достъп до SMS, но използват това, за да събират данни за потребителите на SMS и да ги продават на трети страни. Освен това включва и приложение, което иска разрешение за достъп до данни за контакт и след това повторно използване на тези данни за несвързано приложение.

За да видите по-точни подробности относно видовете злоупотреба с данни, които отговарят на условията за програмата, можете да видите уебсайта на DDPRP . Както при програмата Bug Bounty, всяко приложение в Play Store с повече от 100 милиона инсталации отговаря на условията.

Каква е наградата за намиране на конкретен бъг?

Има парични награди както в програми за откриване на грешки, така и в програми за злоупотреба с данни. Сумата, платена за всеки доклад, зависи от сериозността на проблема. Зависи и от качеството на доклада, изпратен до Google.

Наградите за Програмата за награди за сигурност на Google Play варират от $5000 до $20 000 за грешки при отдалечено изпълнение на код, от $1000 до $3000 за незащитена кражба на лични данни и от $1000 до $3000 за достъп до компоненти.частта на приложението е защитена. Освен това има награди за откриване на уязвимости за отговорни разработчици на приложения. Това дава възможност на разработчиците да коригират проблема.

Наградите в програмата за защита на данните за програмисти варират от $100 до $1000. За да получите наградата, трябва да подадете отчет. Трябва ясно да запишете информация за това кои правила за данни са били нарушени, как е била злоупотребявана с данните и списък с броя пъти, в които приложението е нарушило правилата.

Програмите на Google за злоупотреба с данни и откриване на грешки ви дават възможност да печелите пари. Те също така ви позволяват да помогнете за подобряване на сигурността на приложенията, разпространявани чрез Play Store. Ако се интересувате от повече възможности за лов на грешки, можете също да разгледате програмите на други компании.

Късмет!