Hur man tjänar pengar genom att hitta säkerhetsproblem i Android-applikationer

Om du är en Android- apputvecklare med förmågan att hitta säkerhetsproblem kan du tjäna pengar genom att visa upp din talang för Google. Hackare har tagit med sig appar som är infekterade med skadlig programvara till Google Play Butik, av vilka några har haft miljontals nedladdningar.

Som svar på detta öppnade Google ett Bug Bounty-program (ett belöningsprogram för sårbarheter som upptäckts av användare) som låter utvecklare hitta säkerhetsproblem i många populära applikationer. Tidigare ingick bara ett fåtal appar. Nu är alla populära Play Store-appar en del av programmet. Programmet betalar kontantbelöningar till utvecklare som hittar och rapporterar säkerhetsproblem.

Hitta säkerhetsproblem i Android-applikationer – Din möjlighet att tjäna pengar på Google

• Varför skapade Google Bug Bounty-programmet?
• Hur deltar man i Bug Bounty-programmet?
• Få belöningar för att upptäcka datamissbruk av appar själva
• Vad är belöningen för att hitta en specifik bugg?

Varför skapade Google Bug Bounty-programmet?

Google har länge haft ett Bug Bounty-program för sina egna appar. Liksom många företag erbjuder Google belöningar till utvecklare som upptäcker problem på sina webbplatser. Företaget erbjuder också belöningar för att hitta buggar i sin Chrome-webbläsare eller Chrome-operativsystem. Men nyligen har Google gått ett steg längre, genom att erbjuda belöningar även för buggar som finns i många andra företags appar.

Det första steget i Play Store Bug Bounty-programmet gäller bara ett mycket litet antal toppappar. Nu har Google utökat programmet för att täcka alla appar i Play Butik med över 100 miljoner installationer. Detta innebär att det finns fler möjligheter för buggjägare att upptäcka problem i Play Butiks appar och bli belönad för att de rapporterar dem, även om apputvecklarna inte erbjuder buggprogram. Deras egen Bounty.

Google sa att det introducerade programmet ovan i hopp om att uppmuntra samhället att gå ihop för att förbättra säkerheten för alla. Därför uppmuntrar Google buggjägare att upptäcka problem och rapportera dem till applikationsutvecklare och Google. Detta ger inbyggda apputvecklare möjlighet att fixa buggar snabbt. Och det innebär bättre säkerhet för alla som använder Android-appar.

Hur deltar man i Bug Bounty-programmet?

Bug Bounty-programmet på Play Butik kallas Google Play Security Reward Program (GPSRP) . Google bjuder in säkerhetsforskare och applikationsutvecklare att delta. Det första steget är att fylla i ett ansökningsformulär för att gå med i programmet. Du kan söka efter säkerhetsproblem i valfri app i Play Butik när den har godkänts.

Det finns tre typer av sårbarheter som deltagarna letar efter. För det första är sårbarheter för fjärrkörning av kod sårbarheter som tillåter hackare att komma åt en användares enhet och göra ändringar. Det här är mycket allvarliga säkerhetsproblem.

För det andra är problemet med stöld av osäkrade privata uppgifter. Det är här en sårbarhet tillåter hackare att stjäla personlig information som inloggningsuppgifter, webbhistorik eller kontaktlistor.

För det tredje är tillgång till skyddade programkomponenter. Detta avser applikationer som utför funktioner som de inte har behörighet för. Till exempel skickar en applikation SMS-meddelanden även när den inte har användarens tillåtelse att göra det.

Programmet täcker inte vissa säkerhetsproblem. Till exempel är nätfiskeattacker , även om de är potentiellt mycket farliga, inte kvalificerade för programmet. Anledningen är att de verkar genom att lura användare, inte genom att köra skadlig kod. Programmet täcker inte heller attacker som kräver fysisk åtkomst till enheten.

När du upptäcker ett fel bör du kontakta apputvecklaren för att meddela dem. Du kan sedan arbeta tillsammans med den utvecklaren för att åtgärda problemet. När sårbarheten har åtgärdats kan du begära en kontant belöning från Google.

Få belöningar för att upptäcka datamissbruk av appar själva

Google erbjuder inte bara belöningar för att hitta säkerhetsbuggar. Företaget försöker också "undertrycka" applikationer som stjäl användardata. Nyligen lanserade företaget Developer Data Protection Reward Program (DDRPP) , som erbjuder liknande belöningar till utvecklare som upptäcker datamissbruk av appar.

De typer av datamissbruk programmet letar efter är appar som samlar in och säljer användardata på ett sätt som strider mot Googles integritetspolicy. Det kan till exempel vara en applikation som samlar in data från användarnas kontaktböcker, såsom metadata om vem de ringde och när, utan att skyddas som känsliga uppgifter, är förkylda.

Programmet kommer även att innehålla appar som bryter mot behörighetsregler, som appar som har tillgång till SMS, men som använder detta för att samla in data om SMS-användare och sälja det till tredje part. Dessutom innehåller den också en app som begär tillstånd att komma åt kontaktdata och sedan återanvända dessa data för en orelaterade app.

För att se mer exakt information om vilka typer av datamissbruk som kvalificerar sig för programmet kan du se DDPRP:s webbplats . Precis som med Bug Bounty-programmet är alla appar i Play Butik med mer än 100 miljoner installationer kvalificerade.

Vad är belöningen för att hitta en specifik bugg?

Det delas ut kontantbelöningar i både program för upptäckt av buggar och datamissbruk. Det belopp som betalas för en rapport beror på hur allvarlig problemet är. Det beror också på kvaliteten på rapporten som skickas till Google.

Belöningar för Google Play Security Reward Program sträcker sig från $5 000 till $20 000 för felkörning av fjärrkod, från $1 000 till $3 000 för osäkrad privat datastöld och från $1 000 till $3 000 för åtkomst till komponenter. applikationsdelen är skyddad. Dessutom finns det belöningar för att upptäcka sårbarheter för ansvarsfulla applikationsutvecklare. Detta ger utvecklare möjlighet att åtgärda problemet.

Belöningar från Developer Data Protection Reward Program sträcker sig från $100 till $1000. För att få belöningen måste du skicka in en rapport. Du bör tydligt skriva ner information om vilka datapolicyer som överträtts, hur data missbrukades och en lista över hur många gånger appen brutit mot policyerna.

Googles program för datamissbruk och felsökning ger dig möjlighet att tjäna pengar. De låter dig också hjälpa till att förbättra säkerheten för appar som distribueras via Play Butik. Om du är intresserad av fler buggjaktmöjligheter kan du även kolla in andra företags program.

Lycka till!