Kuinka ansaita rahaa etsimällä tietoturvaongelmia Android-sovelluksista

Jos olet Android- sovelluskehittäjä ja pystyt löytämään tietoturvaongelmia, voit ansaita rahaa näyttämällä kykysi Googlelle. Hakkerit ovat tuoneet Google Play Kauppaan haittaohjelmien saastuttamia sovelluksia, joista osa on ladattu miljoonia.

Vastauksena tähän Google avasi Bug Bounty -ohjelman (palkitseva ohjelma käyttäjien löytämille haavoittuvuuksille), jonka avulla kehittäjät voivat löytää tietoturvaongelmia monissa suosituissa sovelluksissa. Aiemmin mukana oli vain muutama sovellus. Nyt kaikki suositut Play Kaupan sovellukset ovat osa ohjelmaa. Ohjelma maksaa käteispalkkioita kehittäjille, jotka löytävät tietoturvaongelmia ja raportoivat niistä.

Tietoturvaongelmien löytäminen Android-sovelluksista – Mahdollisuutesi ansaita rahaa Googlella

• Miksi Google loi Bug Bounty -ohjelman?
• Kuinka osallistua Bug Bounty -ohjelmaan?
• Ansaitse palkintoja sovellusten itsensä harjoittaman tiedon väärinkäytön havaitsemisesta
• Mikä on palkinto tietyn virheen löytämisestä?

Miksi Google loi Bug Bounty -ohjelman?

Googlella on ollut Bug Bounty -ohjelma omille sovelluksilleen jo pitkään. Kuten monet yritykset, Google tarjoaa palkintoja kehittäjille, jotka löytävät ongelmia sen verkkosivuilla. Yritys tarjoaa myös palkintoja virheiden löytämisestä Chrome-selaimessaan tai Chrome-käyttöjärjestelmässään. Mutta viime aikoina Google on mennyt askeleen pidemmälle tarjoamalla palkintoja myös monien muiden yritysten sovelluksissa löydetyistä vioista.

Play Store Bug Bounty -ohjelman ensimmäinen vaihe koskee vain hyvin pientä määrää huippusovelluksia. Nyt Google on laajentanut ohjelmaa kattamaan kaikki Play Kaupan sovellukset, joissa on yli 100 miljoonaa asennusta. Tämä tarkoittaa, että vianmetsästäjillä on enemmän mahdollisuuksia löytää ongelmia Play Kaupan sovelluksissa ja saada palkkio niiden ilmoittamisesta, vaikka sovellusten kehittäjät eivät tarjoaisikaan virheohjelmia. Heidän oma Bounty.

Google sanoi, että se esitteli yllä olevan ohjelman toivoen, että se rohkaisisi yhteisöä yhdistämään kädet parantaakseen kaikkien turvallisuutta. Siksi Google rohkaisee virheenmetsästäjiä löytämään ongelmia ja ilmoittamaan niistä sovelluskehittäjille ja Googlelle. Tämä antaa alkuperäisille sovellusten kehittäjille mahdollisuuden korjata vikoja nopeasti. Ja tämä tarkoittaa parempaa turvallisuutta kaikille Android-sovelluksia käyttäville.

Kuinka osallistua Bug Bounty -ohjelmaan?

Play Kaupan Bug Bounty -ohjelman nimi on Google Play Security Reward Program (GPSRP) . Google kutsuu tietoturvatutkijat ja sovelluskehittäjät osallistumaan. Ensimmäinen vaihe on täyttää hakemuslomake ohjelmaan liittymiseksi. Voit etsiä tietoturvaongelmia mistä tahansa Play Kaupan soveltuvasta sovelluksesta, kun se on hyväksytty.

Osallistujat etsivät kolmenlaisia ​​haavoittuvuuksia. Ensinnäkin koodin etäsuorittamisen haavoittuvuudet ovat haavoittuvuuksia, joiden avulla hakkerit voivat käyttää käyttäjän laitetta ja tehdä muutoksia. Nämä ovat erittäin vakavia turvallisuuskysymyksiä.

Toinen on suojaamattomien yksityisten tietojen varastamisen ongelma. Tässä haavoittuvuuden ansiosta hakkerit voivat varastaa henkilökohtaisia ​​tietoja, kuten kirjautumistietoja, verkkohistoriaa tai yhteystietoluetteloita.

Kolmanneksi pääsy suojattuihin sovelluskomponentteihin. Tämä viittaa sovelluksiin, jotka suorittavat toimintoja, joihin heillä ei ole lupaa. Esimerkiksi sovellus lähettää tekstiviestejä, vaikka sillä ei ole käyttäjän lupaa tehdä niin.

Ohjelma ei kata kaikkia tietoturvakysymyksiä. Esimerkiksi tietojenkalasteluhyökkäykset , vaikka ne voivat olla erittäin vaarallisia, eivät sovellu ohjelmaan. Syynä on se, että ne toimivat huijaamalla käyttäjiä, eivät suorittamalla haitallista koodia. Ohjelma ei myöskään kata hyökkäyksiä, jotka edellyttävät fyysistä pääsyä laitteeseen.

Kun huomaat virheen, ota yhteyttä sovelluksen kehittäjään ja kerro siitä hänelle. Tämän jälkeen voit ratkaista ongelman yhdessä kyseisen kehittäjän kanssa. Kun haavoittuvuus on korjattu, voit pyytää Googlelta käteispalkkiota.

Ansaitse palkintoja sovellusten itsensä harjoittaman tiedon väärinkäytön havaitsemisesta

Google ei tarjoa palkintoja vain tietoturvavirheiden löytämisestä. Yritys yrittää myös "tukahduttaa" sovelluksia, jotka varastavat käyttäjätietoja. Yhtiö lanseerasi äskettäin Developer Data Protection Reward Program (DDRPP) -ohjelman , joka tarjoaa samanlaisia ​​palkintoja kehittäjille, jotka paljastavat sovellusten tietojen väärinkäytön.

Ohjelman etsimät tiedon väärinkäyttötyypit ovat sovelluksia, jotka keräävät ja myyvät käyttäjätietoja Googlen tietosuojakäytäntöjen vastaisella tavalla. Tämä voi olla esimerkiksi sovellus, joka kerää tietoja käyttäjien yhteystiedoista, kuten metatietoja siitä, kenelle he ovat soittaneet ja milloin, suojaamatta arkaluontoisina tiedoina.

Ohjelmaan tulee myös sovelluksia, jotka rikkovat käyttöoikeussääntöjä, kuten sovelluksia, joilla on pääsy tekstiviesteihin, mutta jotka käyttävät tätä datan keräämiseen SMS-käyttäjistä ja myymiseen kolmansille osapuolille. Lisäksi se sisältää myös sovelluksen, joka pyytää lupaa käyttää yhteystietoja ja käyttää sitten tietoja uudelleen asiaan liittymättömässä sovelluksessa.

Näet tarkempia tietoja ohjelmaan oikeutetuista tietojen väärinkäytöstä DDPRP- verkkosivustolta . Kuten Bug Bounty -ohjelmassa, kaikki Play Kaupan sovellukset, joissa on yli 100 miljoonaa asennusta, ovat kelvollisia.

Mikä on palkinto tietyn virheen löytämisestä?

Sekä virheiden että tietojen väärinkäytön havaitsemisohjelmista myönnetään rahapalkintoja. Raportista maksettava summa riippuu ongelman vakavuudesta. Se riippuu myös Googlelle lähetetyn raportin laadusta.

Google Play Security Reward -ohjelman palkinnot vaihtelevat 5 000 - 20 000 dollarin välillä koodin etäsuoritusvirheistä, 1 000 - 3 000 dollarista suojaamattomista yksityisten tietojen varkauksista ja 1 000 - 3 000 dollarista komponenttien käytöstä. Sovellusosa on suojattu. Lisäksi vastuullisten sovelluskehittäjien haavoittuvuuksien havaitsemisesta on luvassa palkintoja. Tämä antaa kehittäjille mahdollisuuden korjata ongelma.

Developer Data Protection Reward -ohjelman palkinnot vaihtelevat 100–1000 dollarista. Palkinnon vastaanottamiseksi sinun on lähetettävä raportti. Kirjoita selkeästi muistiin tiedot siitä, mitä tietokäytäntöjä on rikottu, kuinka tietoja on käytetty väärin, ja luettelo siitä, kuinka monta kertaa sovellus rikkoi käytäntöjä.

Googlen tietojen väärinkäyttö- ja virheiden havaitsemisohjelmat antavat sinulle mahdollisuuden ansaita rahaa. Niiden avulla voit myös parantaa Play Kaupan kautta jaettavien sovellusten turvallisuutta. Jos olet kiinnostunut uusista vianmetsästysmahdollisuuksista, voit tutustua myös muiden yritysten ohjelmiin.

Onnea!