Sådan tjener du penge ved at finde sikkerhedsproblemer i Android-applikationer

Hvis du er en Android -appudvikler med evnen til at finde sikkerhedsproblemer, kan du tjene penge ved at vise dit talent frem for Google. Hackere har bragt malware-inficerede apps til Google Play Butik, hvoraf nogle har haft millioner af downloads.

Som svar på dette åbnede Google et Bug Bounty-program (et belønningsprogram for sårbarheder opdaget af brugere), som giver udviklere mulighed for at finde sikkerhedsproblemer i mange populære applikationer. Tidligere var kun få apps inkluderet. Nu er alle populære Play Butik-apps en del af programmet. Programmet udbetaler kontante belønninger til udviklere, der finder og rapporterer sikkerhedsproblemer.

Find sikkerhedsproblemer i Android-applikationer – Din mulighed for at tjene penge på Google

• Hvorfor oprettede Google Bug Bounty-programmet?
• Hvordan deltager man i Bug Bounty-programmet?
• Optjen belønninger for at opdage datamisbrug af apps selv
• Hvad er belønningen for at finde en bestemt fejl?

Hvorfor oprettede Google Bug Bounty-programmet?

Google har haft et Bug Bounty-program til sine egne apps i lang tid. Som mange virksomheder tilbyder Google belønninger til udviklere, der opdager problemer på deres websteder. Virksomheden tilbyder også belønninger for at finde fejl i sin Chrome-browser eller Chrome-operativsystem. Men for nylig er Google gået et skridt videre ved også at tilbyde belønninger for fejl fundet i mange andre virksomheders apps.

Det første trin i Play Store Bug Bounty-programmet gælder kun for et meget lille antal topapps. Nu har Google udvidet programmet til at dække enhver app i Play Butik med over 100 millioner installationer. Det betyder, at der er flere muligheder for fejljægere til at opdage problemer i Play Butik-apps og blive belønnet for at rapportere dem, selvom app-udviklerne ikke tilbyder fejlprogrammer. Deres egen dusør.

Google sagde, at det introducerede ovenstående program i håbet om at opmuntre fællesskabet til at slutte sig sammen for at forbedre sikkerheden for alle. Derfor opfordrer Google fejljægere til at opdage problemer og rapportere dem til applikationsudviklere og Google. Dette giver native app-udviklere mulighed for hurtigt at rette fejl. Og det betyder bedre sikkerhed for alle, der bruger Android-apps.

Hvordan deltager man i Bug Bounty-programmet?

Bug Bounty-programmet i Play Butik kaldes Google Play Security Reward Program (GPSRP) . Google inviterer sikkerhedsforskere og applikationsudviklere til at deltage. Det første trin er at udfylde en ansøgningsformular for at deltage i programmet. Du kan søge efter sikkerhedsproblemer i enhver kvalificeret app i Play Butik, når den er godkendt.

Der er tre typer sårbarheder, som deltagerne kigger efter. For det første er sårbarheder ved fjernudførelse af kode sårbarheder, der tillader hackere at få adgang til en brugers enhed og foretage ændringer. Det er meget alvorlige sikkerhedsproblemer.

For det andet er problemet med tyveri af usikrede private data. Det er her en sårbarhed giver hackere mulighed for at stjæle personlige oplysninger såsom loginoplysninger, webhistorik eller kontaktlister.

For det tredje er adgang til beskyttede applikationskomponenter. Dette refererer til applikationer, der udfører funktioner, som de ikke har tilladelse til. For eksempel sender en applikation SMS-beskeder, selv når den ikke har brugerens tilladelse til det.

Programmet dækker ikke nogle sikkerhedsproblemer. For eksempel er phishing-angreb , selvom de er potentielt meget farlige, ikke kvalificerede til programmet. Årsagen er, fordi de opererer ved at bedrage brugere, ikke ved at køre ondsindet kode. Programmet dækker heller ikke angreb, der kræver fysisk adgang til enheden.

Når du opdager en fejl, skal du kontakte appudvikleren for at fortælle dem det. Du kan derefter arbejde sammen med den pågældende udvikler for at løse problemet. Når sårbarheden er løst, kan du anmode om en kontant belønning fra Google.

Optjen belønninger for at opdage datamisbrug af apps selv

Google tilbyder ikke kun belønninger for at finde sikkerhedsfejl. Virksomheden forsøger også at "undertrykke" applikationer, der stjæler brugerdata. For nylig lancerede virksomheden Developer Data Protection Reward Program (DDRPP) , som tilbyder lignende belønninger til udviklere, der afslører datamisbrug af apps.

De typer af datamisbrug, programmet leder efter, er apps, der indsamler og sælger brugerdata på måder, der går imod Googles privatlivspolitikker. Det kan for eksempel være en applikation, der indsamler data fra brugernes kontaktbøger, såsom metadata om, hvem de har ringet til, og hvornår, uden at være beskyttet som følsomme data.

Programmet vil også omfatte apps, der overtræder tilladelsesregler, såsom apps, der har adgang til SMS, men bruger denne til at indsamle data om SMS-brugere og sælge dem til tredjepart. Derudover inkluderer det også en app, der anmoder om tilladelse til at få adgang til kontaktdata og derefter genbruge disse data til en ikke-relateret app.

For at se mere præcise detaljer om de typer datamisbrug, der kvalificerer sig til programmet, kan du se DDPRP-webstedet . Som med Bug Bounty-programmet er enhver app i Play Butik med mere end 100 millioner installationer berettiget.

Hvad er belønningen for at finde en bestemt fejl?

Der uddeles kontante belønninger i både fejl- og datamisbrugsdetektionsprogrammer. Det beløb, der betales for enhver rapport, afhænger af problemets alvor. Det afhænger også af kvaliteten af ​​den rapport, der sendes til Google.

Belønninger for Google Play Security Reward-programmet spænder fra $5.000 til $20.000 for fjernudførelse af kodefejl, fra $1.000 til $3.000 for usikret privat datatyveri og fra $1.000 til $3.000 for adgang til komponenter. applikationsdelen er beskyttet. Derudover er der belønninger for at opdage sårbarheder for ansvarlige applikationsudviklere. Dette giver udviklere mulighed for at løse problemet.

Developer Data Protection Reward Program-belønninger spænder fra $100 til $1000. For at modtage belønningen skal du indsende en rapport. Du bør tydeligt skrive oplysninger om, hvilke datapolitikker der blev overtrådt, hvordan dataene blev misbrugt, og en liste over det antal gange, appen overtrådte politikkerne.

Googles programmer for datamisbrug og fejlsøgning giver dig mulighed for at tjene penge. De lader dig også hjælpe med at forbedre sikkerheden for apps, der distribueres gennem Play Butik. Hvis du er interesseret i flere muligheder for bugjagt, kan du også tjekke andre virksomheders programmer.

Held og lykke!