Ako zarobiť peniaze nájdením bezpečnostných problémov v aplikáciách pre Android

Ak ste vývojár aplikácií pre Android so schopnosťou nájsť problémy so zabezpečením, môžete zarábať peniaze predvedením svojho talentu spoločnosti Google. Hackeri priniesli do obchodu Google Play aplikácie infikované škodlivým softvérom, z ktorých niektoré si stiahli milióny ľudí.

V reakcii na to Google otvoril program Bug Bounty (program odmeňovania za zraniteľnosti objavené používateľmi), ktorý umožňuje vývojárom nájsť bezpečnostné problémy v mnohých populárnych aplikáciách. Predtým bolo zahrnutých len niekoľko aplikácií. Teraz sú súčasťou programu všetky populárne aplikácie Obchodu Play. Program vypláca peňažné odmeny vývojárom, ktorí nájdu a nahlásia bezpečnostné problémy.

Hľadanie bezpečnostných problémov v aplikáciách pre Android – Vaša príležitosť zarobiť peniaze od spoločnosti Google

• Prečo spoločnosť Google vytvorila program Bug Bounty?
• Ako sa zapojiť do programu Bug Bounty?
• Získajte odmeny za odhalenie zneužitia údajov samotnými aplikáciami
• Aká je odmena za nájdenie konkrétnej chyby?

Prečo spoločnosť Google vytvorila program Bug Bounty?

Google už dlho má program Bug Bounty pre svoje vlastné aplikácie. Ako mnoho spoločností, aj Google ponúka odmeny vývojárom, ktorí objavia problémy na jej webových stránkach. Spoločnosť tiež ponúka odmeny za nájdenie chýb vo svojom prehliadači Chrome alebo operačnom systéme Chrome. Nedávno však spoločnosť Google zašla ešte o krok ďalej a ponúka odmeny za chyby nájdené aj v aplikáciách mnohých iných spoločností.

Prvý krok programu Bug Bounty v Obchode Play sa vzťahuje len na veľmi malý počet špičkových aplikácií. Teraz spoločnosť Google rozšírila program tak, aby pokryl akúkoľvek aplikáciu v Obchode Play s viac ako 100 miliónmi inštalácií. Znamená to, že lovci chýb majú viac príležitostí objaviť problémy v aplikáciách Obchodu Play a byť odmenení za ich nahlásenie, aj keď vývojári aplikácií neponúkajú programy na chyby. Ich vlastnú odmenu.

Google uviedol, že zaviedol vyššie uvedený program v nádeji, že povzbudí komunitu, aby sa spojila a zlepšila bezpečnosť pre všetkých. Google preto vyzýva lovcov chýb, aby objavili problémy a nahlásili ich vývojárom aplikácií a spoločnosti Google. To dáva vývojárom natívnych aplikácií príležitosť rýchlo opraviť chyby. A to znamená lepšie zabezpečenie pre každého, kto používa aplikácie pre Android.

Ako sa zapojiť do programu Bug Bounty?

Program Bug Bounty v Obchode Play sa nazýva Google Play Security Reward Program (GPSRP) . Google pozýva bezpečnostných výskumníkov a vývojárov aplikácií, aby sa zúčastnili. Prvým krokom je vyplnenie prihlášky na vstup do programu. Po schválení môžete vyhľadať problémy so zabezpečením v ktorejkoľvek vhodnej aplikácii v Obchode Play.

Účastníci hľadajú tri typy zraniteľností. Po prvé, zraniteľnosti spustenia kódu na diaľku sú zraniteľnosti, ktoré umožňujú hackerom pristupovať k zariadeniu používateľa a vykonávať zmeny. Toto sú veľmi vážne bezpečnostné problémy.

Druhým je problém krádeží nezabezpečených súkromných údajov. Toto je miesto, kde zraniteľnosť umožňuje hackerom ukradnúť osobné informácie, ako sú prihlasovacie údaje, webová história alebo zoznamy kontaktov.

Tretím je prístup k chráneným komponentom aplikácie. Týka sa to aplikácií, ktoré vykonávajú funkcie, na ktoré nemajú povolenie. Aplikácia napríklad posiela SMS správy, aj keď na to nemá povolenie používateľa.

Program nepokrýva niektoré bezpečnostné problémy. Napríklad phishingové útoky , hoci sú potenciálne veľmi nebezpečné, nie sú oprávnené na program. Dôvodom je, že fungujú tak, že podvádzajú používateľov, nie spúšťajú škodlivý kód. Program tiež nepokrýva útoky, ktoré vyžadujú fyzický prístup k zariadeniu.

Keď zistíte chybu, mali by ste kontaktovať vývojára aplikácie a informovať ho. Potom môžete spolupracovať s týmto vývojárom na odstránení problému. Po vyriešení chyby zabezpečenia môžete od spoločnosti Google požiadať o peňažnú odmenu.

Získajte odmeny za odhalenie zneužitia údajov samotnými aplikáciami

Google neponúka odmeny len za nájdenie bezpečnostných chýb. Spoločnosť sa tiež snaží „potlačiť“ aplikácie, ktoré kradnú používateľské dáta. Nedávno spoločnosť spustila program odmeňovania za ochranu údajov pre vývojárov (DDPRP) , ktorý ponúka podobné odmeny vývojárom, ktorí odhalia zneužitie údajov aplikáciami.

Typy zneužitia údajov, ktoré program hľadá, sú aplikácie, ktoré zhromažďujú a predávajú používateľské údaje spôsobmi, ktoré sú v rozpore so zásadami ochrany osobných údajov spoločnosti Google. Môže to byť napríklad aplikácia, ktorá zhromažďuje údaje z kontaktných kníh používateľov, ako sú metadáta o tom, komu a kedy volali, bez toho, aby bola chránená ako citlivé údaje.

Program bude zahŕňať aj aplikácie, ktoré porušujú pravidlá povolení, ako napríklad aplikácie, ktoré majú prístup k SMS, ale používajú to na zhromažďovanie údajov o používateľoch SMS a ich predaj tretím stranám. Okrem toho obsahuje aj aplikáciu požadujúcu povolenie na prístup k údajom o kontaktoch a následné opätovné použitie týchto údajov pre nesúvisiacu aplikáciu.

Ak chcete zobraziť presnejšie podrobnosti o typoch zneužitia údajov, ktoré sa kvalifikujú pre program, môžete si pozrieť webovú stránku DDPRP . Rovnako ako v prípade programu Bug Bounty je vhodná každá aplikácia v Obchode Play s viac ako 100 miliónmi inštalácií.

Aká je odmena za nájdenie konkrétnej chyby?

V programoch na zisťovanie chýb a zneužívania údajov sa udeľujú peňažné odmeny. Suma zaplatená za akúkoľvek správu závisí od závažnosti problému. Závisí to aj od kvality správy odoslanej spoločnosti Google.

Odmeny za bezpečnostný program odmeňovania Google Play sa pohybujú od 5 000 do 20 000 USD za chyby spustenia kódu na diaľku, od 1 000 do 3 000 USD za nezabezpečenú krádež súkromných údajov a od 1 000 do 3 000 USD za prístup ku komponentom. Aplikačná časť je chránená. Okrem toho existujú odmeny za detekciu zraniteľností pre zodpovedných vývojárov aplikácií. To dáva vývojárom príležitosť vyriešiť problém.

Odmeny programu odmeňovania za ochranu údajov vývojárov sa pohybujú od 100 do 1 000 USD. Na získanie odmeny je potrebné podať správu. Mali by ste si jasne zapísať informácie o tom, ktoré pravidlá týkajúce sa údajov boli porušené, ako boli údaje zneužité, a zoznam, koľkokrát aplikácia pravidlá porušila.

Programy Google na zneužívanie údajov a zisťovanie chýb vám dávajú príležitosť zarobiť peniaze. Umožňujú vám tiež zlepšiť bezpečnosť aplikácií distribuovaných prostredníctvom Obchodu Play. Ak máte záujem o ďalšie možnosti lovu chýb, môžete si tiež pozrieť programy iných spoločností.

Veľa štastia!