Kaip užsidirbti pinigų ieškant saugumo problemų Android programose

Jei esate „Android“ programų kūrėjas , galintis rasti saugos problemų, galite užsidirbti pinigų parodydami savo talentą „Google“. Įsilaužėliai į „Google Play“ parduotuvę atnešė kenkėjiškomis programomis užkrėstas programėles, kai kurios iš jų buvo atsisiųsta milijonais.

Reaguodama į tai, „Google“ atidarė „Bug Bounty“ programą (atlyginimo programą už vartotojų atrastus pažeidžiamumus), kuri leidžia kūrėjams rasti saugos problemų daugelyje populiarių programų. Anksčiau buvo įtrauktos tik kelios programos. Dabar visos populiarios „Play Store“ programos yra programos dalis. Programa moka piniginius atlygius kūrėjams, kurie randa ir praneša apie saugos problemas.

Saugumo problemų paieška „Android“ programose – jūsų galimybė užsidirbti pinigų iš „Google“.

• Kodėl „Google“ sukūrė „Bug Bounty“ programą?
• Kaip dalyvauti programoje „Bug Bounty“?
• Gaukite apdovanojimų už pačių programų aptikimą piktnaudžiavimo duomenimis
• Koks atlygis už konkrečios klaidos radimą?

Kodėl „Google“ sukūrė „Bug Bounty“ programą?

„Google“ ilgą laiką turėjo „Bug Bounty“ programą savo programoms. Kaip ir daugelis įmonių, „Google“ siūlo atlygį kūrėjams, kurie jos svetainėse aptinka problemų. Bendrovė taip pat siūlo atlygį už klaidų radimą „Chrome“ naršyklėje arba „Chrome“ operacinėje sistemoje. Tačiau pastaruoju metu „Google“ žengė dar vieną žingsnį toliau, siūlydama atlygį už klaidas, aptiktas daugelio kitų įmonių programose.

Pirmasis „Play Store Bug Bounty“ programos veiksmas taikomas tik labai nedaugeliui geriausių programų. Dabar „Google“ išplėtė programą, kad apimtų bet kurią „Play“ parduotuvės programą, kurią įdiegė daugiau nei 100 mln. Tai reiškia, kad klaidų medžiotojai turi daugiau galimybių atrasti problemas „Play“ parduotuvės programose ir gauti atlygį už pranešimą apie juos, net jei programų kūrėjai nesiūlo klaidų programų. Jų pačių „Bounty“.

„Google“ teigė, kad pristatė pirmiau minėtą programą, tikėdamasi paskatinti bendruomenę susikibti rankomis ir pagerinti visų saugumą. Todėl „Google“ skatina klaidų ieškotojus atrasti problemas ir pranešti apie jas programų kūrėjams ir „Google“. Tai suteikia vietinių programų kūrėjams galimybę greitai ištaisyti klaidas. Tai reiškia geresnę apsaugą visiems, kurie naudojasi „Android“ programomis.

Kaip dalyvauti programoje „Bug Bounty“?

„Google Play“ parduotuvėje esanti programa „Bug Bounty“ vadinama „ Google Play Security Reward Program“ (GPSRP) . „Google“ kviečia dalyvauti saugumo tyrinėtojus ir programų kūrėjus. Pirmas žingsnis – užpildyti paraiškos formą norint prisijungti prie programos. Saugos problemų galite ieškoti bet kurioje tinkamoje „Play“ parduotuvės programoje, kai bus patvirtinta.

Dalyviai ieško trijų tipų pažeidžiamumo. Pirma, nuotolinio kodo vykdymo pažeidžiamumas yra pažeidžiamumas, leidžiantis įsilaužėliams pasiekti vartotojo įrenginį ir atlikti pakeitimus. Tai labai rimtos saugumo problemos.

Antra, nesaugių privačių duomenų vagystės problema. Čia pažeidžiamumas leidžia įsilaužėliams pavogti asmeninę informaciją, pvz., prisijungimo duomenis, žiniatinklio istoriją ar kontaktų sąrašus.

Trečia – prieiga prie apsaugotų programos komponentų. Tai reiškia programas, kurios atlieka funkcijas, kurioms leidimo neturi. Pavyzdžiui, programa siunčia SMS žinutes net tada, kai neturi vartotojo leidimo.

Programa neapima kai kurių saugumo problemų. Pavyzdžiui, sukčiavimo atakos , nors ir gali būti labai pavojingos, nėra tinkamos programai. Priežastis ta, kad jie veikia apgaudinėdami vartotojus, o ne paleisdami kenkėjišką kodą. Programa taip pat neapima atakų, kurioms reikalinga fizinė prieiga prie įrenginio.

Aptikę klaidą turėtumėte susisiekti su programos kūrėju ir pranešti apie tai. Tada galite dirbti kartu su tuo kūrėju, kad išspręstumėte problemą. Kai pažeidžiamumas bus pašalintas, galite paprašyti „Google“ piniginės premijos.

Gaukite apdovanojimų už pačių programų aptikimą piktnaudžiavimo duomenimis

„Google“ siūlo ne tik atlygį už saugumo klaidų radimą. Bendrovė taip pat bando „slopinti“ vartotojų duomenis vagiančias programas. Neseniai bendrovė pristatė Kūrėjų duomenų apsaugos apdovanojimų programą (DDPRP) , kuri siūlo panašius atlygius kūrėjams, atskleidžiantiems, kad programos netinkamai naudoja duomenis.

Piktnaudžiavimo duomenimis tipai, kurių ieško programa, yra programos, kurios renka ir parduoda naudotojų duomenis tokiu būdu, kuris prieštarauja „Google“ privatumo politikai. Pavyzdžiui, tai gali būti programa, kuri renka duomenis iš vartotojų kontaktų knygų, pvz., metaduomenis apie tai, kam ir kada jie skambino, nesaugoma kaip neskelbtini duomenys.

Į programą taip pat bus įtrauktos programėlės, kurios pažeidžia leidimų taisykles, pvz., programėlės, kurios turi prieigą prie SMS, bet naudoja tai duomenims apie SMS naudotojus rinkti ir parduoti trečiosioms šalims. Be to, joje taip pat yra programa, prašanti leidimo pasiekti kontaktinius duomenis ir pakartotinai naudoti tuos duomenis nesusijusiai programai.

Norėdami pamatyti tikslesnę informaciją apie piktnaudžiavimo duomenimis tipus, kurie atitinka programos reikalavimus, galite peržiūrėti DDPRP svetainę . Kaip ir programoje „Bug Bounty“, tinka bet kuri „Play“ parduotuvės programa, įdiegta daugiau nei 100 mln.

Koks atlygis už konkrečios klaidos radimą?

Tiek klaidų, tiek piktnaudžiavimo duomenimis nustatymo programose skiriami piniginiai atlygiai. Suma, mokama už bet kurią ataskaitą, priklauso nuo problemos rimtumo. Tai taip pat priklauso nuo „Google“ siunčiamos ataskaitos kokybės.

Apdovanojimai už „Google Play“ saugos apdovanojimų programą svyruoja nuo 5 000 iki 20 000 USD už nuotolinio kodo vykdymo klaidas, nuo 1 000 iki 3 000 USD už neapsaugotą privačių duomenų vagystę ir nuo 1 000 iki 3 000 USD už prieigą prie komponentų. Programos dalis yra apsaugota. Be to, už pažeidžiamumų aptikimą atsakingi programų kūrėjai gauna atlygį. Tai suteikia kūrėjams galimybę išspręsti problemą.

Kūrėjo duomenų apsaugos apdovanojimų programos apdovanojimai svyruoja nuo 100 USD iki 1000 USD. Norėdami gauti atlygį, turite pateikti ataskaitą. Turėtumėte aiškiai užrašyti informaciją apie tai, kurios duomenų politikos nuostatos buvo pažeistos, kaip buvo piktnaudžiaujama duomenimis, ir sąrašą, kiek kartų programa pažeidė politiką.

„Google“ piktnaudžiavimo duomenimis ir klaidų aptikimo programos suteikia galimybę užsidirbti pinigų. Jie taip pat leidžia pagerinti „Play“ parduotuvėje platinamų programų saugumą. Jei jus domina daugiau klaidų medžioklės galimybių, taip pat galite peržiūrėti kitų įmonių programas.

Sėkmės!