Як заробити гроші, знаходячи проблеми з безпекою в додатках Android

Якщо ви розробник додатків для Android і вмієте виявляти проблеми з безпекою, ви можете заробляти гроші, демонструючи Google свій талант. Хакери перенесли заражені зловмисним програмним забезпеченням додатки в Google Play Store, деякі з яких мали мільйони завантажень.

У відповідь на це Google відкрив програму Bug Bounty (програма винагороди за вразливості, виявлені користувачами), яка дозволяє розробникам знаходити проблеми безпеки в багатьох популярних програмах. Раніше було включено лише кілька програм. Тепер усі популярні програми Play Store є частиною програми. Програма виплачує грошову винагороду розробникам, які знаходять проблеми з безпекою та повідомляють про них.

Виявлення проблем із безпекою в програмах Android – ваша можливість заробити гроші від Google

• Чому Google створив програму Bug Bounty?
• Як взяти участь у програмі Bug Bounty?
• Отримуйте винагороди за виявлення зловживання даними самими програмами
• Яка винагорода за виявлення певної помилки?

Чому Google створив програму Bug Bounty?

Google вже давно має програму Bug Bounty для власних програм. Як і багато компаній, Google пропонує винагороди розробникам, які виявлять проблеми на її веб-сайтах. Компанія також пропонує винагороди за виявлення помилок у своєму браузері або операційній системі Chrome. Але нещодавно Google пішов ще далі, запропонувавши також винагороду за помилки, виявлені в програмах багатьох інших компаній.

Перший крок програми Play Store Bug Bounty стосується лише невеликої кількості найпопулярніших програм. Тепер Google розширив програму, щоб охопити будь-яку програму в Play Store із понад 100 мільйонами встановлень. Це означає, що шукачі помилок мають більше можливостей виявляти проблеми в програмах Play Store і отримувати винагороду за повідомлення про них, навіть якщо розробники програм не пропонують програм для виявлення помилок. Їхня власна премія.

Google заявив, що запровадив вищезгадану програму в надії заохотити спільноту об’єднати зусилля для покращення безпеки для всіх. Тому Google заохочує шукачів помилок виявляти проблеми та повідомляти про них розробникам програм і Google. Це дає розробникам рідних програм можливість швидко виправляти помилки. А це означає кращу безпеку для всіх, хто використовує програми Android.

Як взяти участь у програмі Bug Bounty?

Програма Bug Bounty у Play Store називається Google Play Security Reward Program (GPSRP) . Google запрошує дослідників безпеки та розробників програм взяти участь. Першим кроком є ​​заповнення анкети для участі в програмі. Ви можете шукати проблеми безпеки в будь-якому відповідному додатку в магазині Play після схвалення.

Учасники шукають три типи вразливостей. По-перше, уразливості Remote Code Execution — це уразливості, які дозволяють хакерам отримати доступ до пристрою користувача та внести зміни. Це дуже серйозні питання безпеки.

По-друге, це проблема крадіжки незахищених особистих даних. Саме тут уразливість дозволяє хакерам викрасти особисту інформацію, таку як облікові дані для входу, історію веб-пошуку або списки контактів.

По-третє, доступ до захищених компонентів програми. Це відноситься до програм, які виконують функції, на які вони не мають дозволу. Наприклад, програма надсилає SMS-повідомлення, навіть якщо вона не має на це дозволу користувача.

Програма не охоплює деякі питання безпеки. Наприклад, фішингові атаки , хоча й потенційно дуже небезпечні, не підходять для програми. Причина в тому, що вони працюють, обманюючи користувачів, а не запускаючи шкідливий код. Програма також не охоплює атаки, які потребують фізичного доступу до пристрою.

Коли ви виявите помилку, вам слід зв’язатися з розробником програми, щоб повідомити його. Потім ви можете співпрацювати з цим розробником, щоб вирішити проблему. Коли вразливість буде усунено, ви можете подати запит на грошову винагороду від Google.

Отримуйте винагороди за виявлення зловживання даними самими програмами

Google не просто пропонує винагороди за виявлення помилок безпеки. Також компанія намагається «придушити» програми, які крадуть дані користувачів. Нещодавно компанія запустила Програму винагороди за захист даних розробників (DDPRP) , яка пропонує аналогічні винагороди розробникам, які виявляють зловживання даними програмами.

Типи зловживань даними, які шукає програма, це програми, які збирають і продають дані користувачів у спосіб, що суперечить політиці конфіденційності Google. Наприклад, це може бути програма, яка збирає дані з контактних книг користувачів, як-от метадані про те, кому вони телефонували та коли, без захисту як конфіденційних даних.

Програма також включатиме програми, які порушують правила дозволів, наприклад програми, які мають доступ до SMS, але використовують це для збору даних про користувачів SMS і продажу їх третім особам. Крім того, він також містить програму, яка запитує дозвіл на доступ до контактних даних, а потім повторно використовує ці дані для непов’язаної програми.

Щоб побачити більш точні відомості про типи зловживань даними, які відповідають вимогам програми, ви можете відвідати веб-сайт DDPRP . Як і у випадку з програмою Bug Bounty, будь-яка програма в Play Store, яка має понад 100 мільйонів встановлень, має право.

Яка винагорода за виявлення певної помилки?

Існують грошові винагороди в програмах виявлення помилок і зловживання даними. Сума, сплачена за будь-який звіт, залежить від серйозності проблеми. Це також залежить від якості звіту, надісланого в Google.

Винагороди за Програму винагород Google Play Security Reward варіюються від 5000 до 20 000 доларів США за помилки віддаленого виконання коду, від 1000 до 3000 доларів США за незахищену крадіжку особистих даних і від 1000 до 3000 доларів США за доступ до компонентів.Програма захищена. Крім того, є винагороди за виявлення вразливостей для відповідальних розробників програм. Це дає розробникам можливість вирішити проблему.

Винагороди програми захисту даних розробників варіюються від 100 до 1000 доларів США. Для отримання винагороди необхідно подати звіт. Ви повинні чітко записати інформацію про те, які політики щодо даних були порушені, як дані були зловживані, а також список кількості разів, коли програма порушувала політики.

Програми Google для виявлення зловживань даними та помилок дають вам можливість заробляти гроші. Вони також дозволяють покращити безпеку програм, які розповсюджуються через Play Store. Якщо вас цікавлять додаткові можливості пошуку помилок, ви також можете ознайомитися з програмами інших компаній.

Удачі!