Hvernig á að græða peninga með því að finna öryggisvandamál í Android forritum

Ef þú ert Android app forritari með getu til að finna öryggisvandamál geturðu þénað peninga með því að sýna Google hæfileika þína. Tölvuþrjótar hafa komið með öpp sem sýkt eru með spilliforritum í Google Play Store, sem sum hver hafa fengið milljónir niðurhala.

Til að bregðast við þessu opnaði Google Bug Bounty forrit (verðlaunaforrit fyrir veikleika sem notendur uppgötva) sem gerir forriturum kleift að finna öryggisvandamál í mörgum vinsælum forritum. Áður voru aðeins nokkur öpp innifalin. Nú eru öll vinsæl Play Store öpp hluti af forritinu. Forritið greiðir peningaverðlaun til þróunaraðila sem finna og tilkynna öryggisvandamál.

Að finna öryggisvandamál í Android forritum - tækifæri þitt til að græða peninga á Google

• Hvers vegna bjó Google til Bug Bounty forritið?
• Hvernig á að taka þátt í Bug Bounty forritinu?
• Aflaðu verðlauna fyrir að greina misnotkun gagna frá forritunum sjálfum
• Hver eru verðlaunin fyrir að finna tiltekna villu?

Hvers vegna bjó Google til Bug Bounty forritið?

Google hefur verið með Bug Bounty forrit fyrir eigin öpp í langan tíma. Eins og mörg fyrirtæki býður Google verðlaun til þróunaraðila sem uppgötva vandamál á vefsíðum sínum. Fyrirtækið býður einnig upp á verðlaun fyrir að finna villur í Chrome vafra eða Chrome stýrikerfi. En nýlega hefur Google gengið einu skrefi lengra, með því að bjóða upp á verðlaun fyrir villur sem finnast í forritum margra annarra fyrirtækja.

Fyrsta skrefið í Play Store Bug Bounty forritinu á aðeins við um mjög fáan fjölda vinsælustu forrita. Nú hefur Google stækkað forritið til að ná yfir hvaða forrit sem er í Play Store með yfir 100 milljón uppsetningum. Þetta þýðir að það eru fleiri tækifæri fyrir villuveiðimenn til að uppgötva vandamál í Play Store forritum og fá verðlaun fyrir að tilkynna þau, jafnvel þótt forritarar forrita bjóði ekki upp á villuforrit. Þeirra eigin Bounty.

Google sagðist hafa kynnt ofangreint forrit í von um að hvetja samfélagið til að taka höndum saman til að bæta öryggi allra. Þess vegna hvetur Google villuveiðimenn til að uppgötva vandamál og tilkynna þau til forritara og Google. Þetta gefur innfæddum forriturum tækifæri til að laga villur fljótt. Og það þýðir betra öryggi fyrir alla sem nota Android öpp.

Hvernig á að taka þátt í Bug Bounty forritinu?

Bug Bounty forritið í Play Store er kallað Google Play Security Reward Program (GPSRP) . Google býður öryggisrannsakendum og forritara að taka þátt. Fyrsta skrefið er að fylla út umsóknareyðublað til að taka þátt í forritinu. Þú getur leitað að öryggisvandamálum í hvaða gjaldgengilegu forriti sem er í Play Store þegar það hefur verið samþykkt.

Það eru þrjár tegundir veikleika sem þátttakendur leita að. Í fyrsta lagi eru veikleikar við framkvæmd fjarkóða veikleikar sem gera tölvuþrjótum kleift að fá aðgang að tæki notanda og gera breytingar. Þetta eru mjög alvarleg öryggismál.

Í öðru lagi er vandamálið við þjófnað á ótryggðum einkagögnum. Þetta er þar sem varnarleysi gerir tölvuþrjótum kleift að stela persónulegum upplýsingum eins og innskráningarskilríkjum, vefsögu eða tengiliðalistum.

Í þriðja lagi er aðgangur að vernduðum forritahlutum. Hér er átt við forrit sem framkvæma aðgerðir sem þau hafa ekki leyfi fyrir. Til dæmis sendir forrit SMS-skilaboð jafnvel þegar það hefur ekki leyfi notandans til þess.

Forritið nær ekki yfir nokkur öryggisvandamál. Til dæmis eru vefveiðarárásir , þótt þær séu hugsanlega mjög hættulegar, ekki gjaldgengar í forritið. Ástæðan er sú að þeir starfa með því að blekkja notendur, ekki með því að keyra skaðlegan kóða. Forritið nær heldur ekki yfir árásir sem krefjast líkamlegs aðgangs að tækinu.

Þegar þú uppgötvar villu ættir þú að hafa samband við forritara forritsins til að láta þá vita. Þú getur síðan unnið með þeim forritara til að laga málið. Þegar varnarleysi hefur verið leyst geturðu beðið um peningaverðlaun frá Google.

Aflaðu verðlauna fyrir að greina misnotkun gagna frá forritunum sjálfum

Google býður ekki bara upp á verðlaun fyrir að finna öryggisvillur. Fyrirtækið er einnig að reyna að „bæla“ forritum sem stela notendagögnum. Nýlega setti fyrirtækið af stað gagnaverndaráætlun þróunaraðila (DDPRP) , sem býður upp á svipaðar verðlaun fyrir þróunaraðila sem afhjúpa misnotkun gagna af forritum.

Þær tegundir gagnamisnotkunar sem forritið er að leita að eru forrit sem safna og selja notendagögn á þann hátt sem stríðir gegn persónuverndarstefnu Google. Til dæmis gæti þetta verið forrit sem safnar gögnum úr tengiliðabókum notenda, svo sem lýsigögn um hvern þeir hringdu og hvenær, án þess að vera varin sem viðkvæm gögn, hafa kvef.

Forritið mun einnig innihalda öpp sem brjóta í bága við heimildareglur, svo sem öpp sem hafa aðgang að SMS, en nota þetta til að safna gögnum um SMS notendur og selja til þriðja aðila. Að auki inniheldur það einnig forrit sem biður um leyfi til að fá aðgang að tengiliðagögnum og endurnýtir síðan þau gögn fyrir ótengt forrit.

Til að sjá nákvæmari upplýsingar um þær tegundir gagnamisnotkunar sem uppfylla skilyrðin fyrir forritið, geturðu skoðað vefsíðu DDPRP . Eins og með Bug Bounty forritið er hvaða forrit sem er í Play Store með meira en 100 milljón uppsetningar gjaldgengt.

Hver eru verðlaunin fyrir að finna tiltekna villu?

Það eru peningaverðlaun veitt í bæði villu- og gagnamisnotkunaruppgötvunarforritum. Upphæðin sem greidd er fyrir hverja skýrslu fer eftir alvarleika vandans. Það fer líka eftir gæðum skýrslunnar sem send er til Google.

Verðlaun fyrir Google Play Security Reward Program eru á bilinu $5.000 til $20.000 fyrir galla við keyrslu fjarkóða, frá $1.000 til $3.000 fyrir ótryggðan einkagagnaþjófnað og frá $1.000 til $3.000 fyrir aðgang að íhlutum. forritshluti er verndaður. Að auki eru verðlaun fyrir að greina veikleika fyrir ábyrga forritara. Þetta gefur forriturum tækifæri til að laga vandamálið.

Verðlaun fyrir gagnaverndarverðlaun forritara eru á bilinu $100 til $1000. Til að fá verðlaunin þarftu að skila inn skýrslu. Þú ættir greinilega að skrifa niður upplýsingar um hvaða gagnareglur voru brotnar, hvernig gögnin voru misnotuð og lista yfir fjölda skipta sem appið braut reglurnar.

Gagnamisnotkun og villugreiningarforrit Google gefa þér tækifæri til að græða peninga. Þeir gera þér einnig kleift að bæta öryggi forrita sem dreift er í gegnum Play Store. Ef þú hefur áhuga á fleiri tækifærum til villuleitar geturðu líka skoðað forrit annarra fyrirtækja.

Gangi þér vel!