Kako zaraditi pronalaženjem sigurnosnih problema u Android aplikacijama

Ako ste programer Android aplikacija sa sposobnošću pronalaženja sigurnosnih problema, možete zaraditi novac pokazujući svoj talent Googleu. Hakeri su donijeli aplikacije zaražene zlonamjernim softverom u Google Play Store, od kojih su neke imale milijune preuzimanja.

Kao odgovor na to, Google je otvorio program Bug Bounty (program nagrađivanja za ranjivosti koje su otkrili korisnici) koji programerima omogućuje pronalaženje sigurnosnih problema u mnogim popularnim aplikacijama. Prethodno je bilo uključeno samo nekoliko aplikacija. Sada su sve popularne aplikacije Trgovine Play dio programa. Program isplaćuje novčane nagrade programerima koji pronađu i prijave sigurnosne probleme.

Pronalaženje sigurnosnih problema u Android aplikacijama - Vaša prilika da zaradite novac od Googlea

• Zašto je Google stvorio program Bug Bounty?
• Kako sudjelovati u Bug Bounty programu?
• Zaradite nagrade za otkrivanje zlouporabe podataka od strane samih aplikacija
• Koja je nagrada za pronalazak određenog buga?

Zašto je Google stvorio program Bug Bounty?

Google već dugo ima Bug Bounty program za vlastite aplikacije. Poput mnogih tvrtki, Google nudi nagrade programerima koji otkriju probleme na njegovim web stranicama. Tvrtka također nudi nagrade za pronalaženje grešaka u svom pregledniku Chrome ili operativnom sustavu Chrome. Ali nedavno je Google otišao korak dalje, nudeći nagrade za pogreške pronađene iu aplikacijama mnogih drugih tvrtki.

Prvi korak Play Store Bug Bounty programa odnosi se samo na vrlo mali broj najpopularnijih aplikacija. Sada je Google proširio program na bilo koju aplikaciju u Trgovini Play s više od 100 milijuna instaliranja. To znači da postoji više prilika za lovce na bugove da otkriju probleme u aplikacijama Trgovine Play i budu nagrađeni za njihovo prijavljivanje, čak i ako programeri aplikacija ne nude programe za bugove. Njihova vlastita nagrada.

Google je rekao da je uveo gornji program u nadi da će potaknuti zajednicu da se udruži radi poboljšanja sigurnosti za sve. Stoga Google potiče lovce na bugove da otkriju probleme i prijave ih razvojnim programerima aplikacija i Googleu. To razvojnim programerima izvornih aplikacija daje priliku da brzo poprave pogreške. A to znači bolju sigurnost za sve koji koriste Android aplikacije.

Kako sudjelovati u Bug Bounty programu?

Program Bug Bounty u Trgovini Play zove se Google Play Security Reward Program (GPSRP) . Google poziva istraživače sigurnosti i programere aplikacija da sudjeluju. Prvi korak je ispuniti prijavnicu za uključivanje u program. Možete tražiti sigurnosne probleme u bilo kojoj prihvatljivoj aplikaciji u Trgovini Play nakon odobrenja.

Postoje tri vrste ranjivosti koje sudionici traže. Prvo, ranjivosti Remote Code Execution su ranjivosti koje hakerima omogućuju pristup korisničkom uređaju i unošenje promjena. Ovo su vrlo ozbiljni sigurnosni problemi.

Drugi je problem krađe nezaštićenih privatnih podataka. Ovdje ranjivost omogućuje hakerima krađu osobnih podataka kao što su vjerodajnice za prijavu, web povijest ili popisi kontakata.

Treći je pristup zaštićenim komponentama aplikacije. Ovo se odnosi na aplikacije koje izvode funkcije za koje nemaju dopuštenje. Na primjer, aplikacija šalje SMS poruke čak i kada za to nema dopuštenje korisnika.

Program ne pokriva neka sigurnosna pitanja. Na primjer, napadi krađe identiteta , iako potencijalno vrlo opasni, ne ispunjavaju uvjete za program. Razlog je taj što rade tako što varaju korisnike, a ne pokretanjem zlonamjernog koda. Program također ne pokriva napade koji zahtijevaju fizički pristup uređaju.

Kada otkrijete pogrešku, trebate kontaktirati razvojnog programera aplikacije i obavijestiti ga. Zatim možete raditi zajedno s tim programerom kako biste riješili problem. Nakon što se ranjivost riješi, možete zatražiti novčanu nagradu od Googlea.

Zaradite nagrade za otkrivanje zlouporabe podataka od strane samih aplikacija

Google ne nudi samo nagrade za pronalaženje sigurnosnih grešaka. Tvrtka također pokušava "suzbiti" aplikacije koje kradu korisničke podatke. Nedavno je tvrtka pokrenula program nagrađivanja za zaštitu podataka programera (DDPRP) , koji nudi slične nagrade programerima koji otkriju zlouporabu podataka od strane aplikacija.

Vrste zlouporabe podataka koje program traži su aplikacije koje prikupljaju i prodaju korisničke podatke na načine koji su u suprotnosti s Googleovim pravilima o privatnosti. Na primjer, to bi mogla biti aplikacija koja prikuplja podatke iz korisničkih knjiga kontakata, kao što su metapodaci o tome koga su zvali i kada, a da nisu zaštićeni kao osjetljivi podaci.

Program će također uključivati ​​aplikacije koje krše pravila dopuštenja, poput aplikacija koje imaju pristup SMS-u, ali ga koriste za prikupljanje podataka o korisnicima SMS-a i prodaju ih trećim stranama. Osim toga, također uključuje aplikaciju koja traži dopuštenje za pristup podacima o kontaktima i zatim ponovno korištenje tih podataka za nepovezanu aplikaciju.

Da biste vidjeli preciznije pojedinosti o vrstama zlouporabe podataka koje ispunjavaju uvjete za program, možete vidjeti web stranicu DDPRP . Kao i kod programa Bug Bounty, svaka aplikacija u Trgovini Play s više od 100 milijuna instaliranja ispunjava uvjete.

Koja je nagrada za pronalazak određenog buga?

U programima za otkrivanje bugova i zlouporabe podataka dodjeljuju se novčane nagrade. Iznos koji se plaća za bilo koje izvješće ovisi o težini problema. Također ovisi o kvaliteti izvješća poslanog Googleu.

Nagrade za program nagrađivanja za sigurnost Google Playa kreću se od 5.000 do 20.000 USD za greške u daljinskom izvršavanju koda, od 1.000 do 3.000 USD za nezaštićenu krađu privatnih podataka i od 1.000 do 3.000 USD za pristup komponentama. aplikacijski dio je zaštićen. Osim toga, postoje nagrade za otkrivanje ranjivosti za odgovorne programere aplikacija. To programerima daje priliku da riješe problem.

Nagrade Programa za zaštitu podataka za programere kreću se od 100 do 1000 USD. Za primanje nagrade potrebno je podnijeti izvješće. Trebali biste jasno zapisati informacije o tome koja su pravila o podacima prekršena, kako su podaci zlouporabljeni i popis koliko je puta aplikacija prekršila pravila.

Googleovi programi za otkrivanje zlouporabe podataka i pogrešaka daju vam priliku za zaradu. Također vam omogućuju da poboljšate sigurnost aplikacija koje se distribuiraju putem Trgovine Play. Ako ste zainteresirani za više mogućnosti lova na bugove, također možete provjeriti programe drugih tvrtki.

Sretno!