Hvordan tjene penger ved å finne sikkerhetsproblemer i Android-applikasjoner

Hvis du er en Android -apputvikler med muligheten til å finne sikkerhetsproblemer, kan du tjene penger ved å vise frem talentet ditt til Google. Hackere har brakt apper som er infisert med skadelig programvare til Google Play Store, hvorav noen har hatt millioner av nedlastinger.

Som svar på dette åpnet Google et Bug Bounty-program (et belønningsprogram for sårbarheter oppdaget av brukere) som lar utviklere finne sikkerhetsproblemer i mange populære applikasjoner. Tidligere var bare noen få apper inkludert. Nå er alle populære Play Store-apper en del av programmet. Programmet betaler kontantbelønninger til utviklere som finner og rapporterer sikkerhetsproblemer.

Finne sikkerhetsproblemer i Android-applikasjoner – Din mulighet til å tjene penger på Google

• Hvorfor opprettet Google Bug Bounty-programmet?
• Hvordan delta i Bug Bounty-programmet?
• Få belønninger for å oppdage datamisbruk av appene selv
• Hva er belønningen for å finne en spesifikk feil?

Hvorfor opprettet Google Bug Bounty-programmet?

Google har hatt et Bug Bounty-program for sine egne apper i lang tid. Som mange andre selskaper tilbyr Google belønninger til utviklere som oppdager problemer på nettsidene deres. Selskapet tilbyr også belønninger for å finne feil i Chrome-nettleseren eller Chrome-operativsystemet. Men nylig har Google gått ett skritt videre, ved å tilby belønninger for feil som finnes i mange andre selskapers apper også.

Det første trinnet i Play Store Bug Bounty-programmet gjelder bare for et svært lite antall toppapper. Nå har Google utvidet programmet til å dekke alle apper i Play-butikken med over 100 millioner installasjoner. Dette betyr at det er flere muligheter for feiljegere til å oppdage problemer i Play Store-apper og bli belønnet for å rapportere dem, selv om apputviklerne ikke tilbyr feilprogrammer. Deres egen dusør.

Google sa at de introduserte programmet ovenfor i håp om å oppmuntre fellesskapet til å gå sammen for å forbedre sikkerheten for alle. Derfor oppfordrer Google feiljegere til å oppdage problemer og rapportere dem til applikasjonsutviklere og Google. Dette gir native app-utviklere muligheten til å fikse feil raskt. Og det betyr bedre sikkerhet for alle som bruker Android-apper.

Hvordan delta i Bug Bounty-programmet?

Bug Bounty-programmet på Play Store kalles Google Play Security Reward Program (GPSRP) . Google inviterer sikkerhetsforskere og applikasjonsutviklere til å delta. Det første trinnet er å fylle ut et søknadsskjema for å bli med i programmet. Du kan søke etter sikkerhetsproblemer i alle kvalifiserte apper i Play-butikken når de er godkjent.

Det er tre typer sårbarheter som deltakerne ser etter. For det første er sårbarheter for ekstern kjøring av kode sårbarheter som lar hackere få tilgang til en brukers enhet og gjøre endringer. Dette er svært alvorlige sikkerhetsproblemer.

For det andre er problemet med tyveri av usikrede private data. Det er her en sårbarhet lar hackere stjele personlig informasjon som påloggingsinformasjon, netthistorikk eller kontaktlister.

For det tredje er tilgang til beskyttede applikasjonskomponenter. Dette refererer til applikasjoner som utfører funksjoner som de ikke har tillatelse til. For eksempel sender en applikasjon SMS-meldinger selv når den ikke har brukerens tillatelse til det.

Programmet dekker ikke noen sikkerhetsproblemer. For eksempel er phishing-angrep , selv om de er potensielt svært farlige, ikke kvalifisert for programmet. Årsaken er fordi de opererer ved å svindle brukere, ikke ved å kjøre ondsinnet kode. Programmet dekker heller ikke angrep som krever fysisk tilgang til enheten.

Når du oppdager en feil, bør du kontakte apputvikleren for å gi dem beskjed. Du kan deretter jobbe sammen med den utvikleren for å fikse problemet. Når sikkerhetsproblemet er løst, kan du be om en kontantbelønning fra Google.

Få belønninger for å oppdage datamisbruk av appene selv

Google tilbyr ikke bare belønninger for å finne sikkerhetsfeil. Selskapet prøver også å "undertrykke" applikasjoner som stjeler brukerdata. Nylig lanserte selskapet Developer Data Protection Reward Program (DDRPP) , som tilbyr lignende belønninger til utviklere som avdekker datamisbruk av apper.

De typene datamisbruk programmet ser etter er apper som samler inn og selger brukerdata på måter som strider mot Googles personvernregler. Dette kan for eksempel være en applikasjon som samler inn data fra brukernes kontaktbøker, for eksempel metadata om hvem de ringte og når, uten å være beskyttet som sensitive data, er forkjølet.

Programmet vil også inkludere apper som bryter tillatelsesregler, som apper som har tilgang til SMS, men som bruker dette til å samle inn data om SMS-brukere og selge det til tredjepart. I tillegg inkluderer den også en app som ber om tillatelse til å få tilgang til kontaktdata og deretter gjenbruke disse dataene for en ikke-relatert app.

For å se mer nøyaktige detaljer om typene datamisbruk som kvalifiserer for programmet, kan du se DDPRP-nettstedet . Som med Bug Bounty-programmet, er enhver app i Play-butikken med mer enn 100 millioner installasjoner kvalifisert.

Hva er belønningen for å finne en spesifikk feil?

Det deles ut kontantbelønninger i programmer for oppdagelse av både feil og datamisbruk. Beløpet som betales for en rapport avhenger av alvorlighetsgraden av problemet. Det avhenger også av kvaliteten på rapporten som sendes til Google.

Belønninger for Google Play Security Reward Program varierer fra $5 000 til $20 000 for fjernutførelse av kodefeil, fra $1000 til $3000 for usikret privat datatyveri, og fra $1000 til $3000 for tilgang til komponenter. applikasjonsdelen er beskyttet. I tillegg er det belønninger for å oppdage sårbarheter for ansvarlige applikasjonsutviklere. Dette gir utviklere muligheten til å fikse problemet.

Belønningsprogram for utviklerdatabeskyttelse varierer fra $100 til $1000. For å motta belønningen må du sende inn en rapport. Du bør tydelig skrive ned informasjon om hvilke dataretningslinjer som ble brutt, hvordan dataene ble misbrukt, og en liste over antall ganger appen brøt retningslinjene.

Googles programmer for datamisbruk og feiloppdaging gir deg muligheten til å tjene penger. De lar deg også bidra til å forbedre sikkerheten til apper som distribueres gjennom Play-butikken. Hvis du er interessert i flere insektjaktmuligheter, kan du også sjekke ut andre selskapers programmer.

Lykke til!