Reklame

Hvis du er en Android-appudvikler med en næse til at jage ned sikkerhedsproblemer, kan du få betalt for at låne dine evner til Google. Hackere har formået at plante malware-inficerede apps i Google Play Store, hvoraf nogle fik millioner af downloads.

Som svar har Google åbnet sit bug-bounty-program, der lader udviklere grave efter sikkerhedsproblemer i fælles apps. Tidligere var kun et par apps dækket. Nu er alle populære Play Store-apps en del af programmet. Programmet udbetaler kontante belønninger til udviklere, der finder og rapporterer sikkerhedsproblemer.

Hvorfor Google har et Bug Bounty-program

Google har haft et bug-bounty-program til sine egne apps i lang tid. Som mange virksomheder, Google tilbyder belønninger til udviklere, der afslører problemer på dets websteder Google betaler dig $ 100 + hvis du bare hjælper demGoogle har udbetalt hundreder af tusinder af dollars til almindelige brugere for at gøre en enkel ting. Læs mere . Det giver også fordele for at finde fejl i sin Chrome-browser eller sit Chrome-operativsystem. Men for nylig har det taget det mere radikale skridt med at tilbyde belønninger for fejl, der findes i andre selskabers apps.

instagram viewer

Den første iteration af bugspilsprogrammet i Play Store anvendtes kun på et meget lille antal top-apps. Nu har Google udvidet programmet til at dække enhver app i Play Store med mere end 100 millioner installationer. Dette betyder, at der er mange flere muligheder for bugjægere til at opdage problemer i Play Store-apps og blive belønnet for at have rapporteret dem, selvom appudviklerne ikke tilbyder deres egen bugbounty programmer.

Google siger, at det introducerede dette program i håb om "at tilskynde samfundet til at hjælpe os med at forbedre sikkerheden for alle". Derfor opfordrer det til bugjægere, der opdager en fejl til at rapportere det til appudviklerne såvel som til Google. Dette giver de originale appudviklere chancen for at rette fejlen hurtigt. Og det betyder bedre sikkerhed for alle, der bruger Android-apps.

Sådan involveres du i Bug Bounty-programmet

Tjen penge på at finde sikkerhedsproblemer i Google Play Apps - Play Store

Play Store-bug-bounty-ordningen kaldes Google Play-sikkerhedsbelønningsprogram (GPSRP). Google inviterer sikkerhedsforskere og appudviklere til at deltage. Det første trin er at udfylde en Ansøgning at deltage i programmet. Du kan kigge efter sikkerhedsproblemer i en hvilken som helst kvalificeret app i Play Store, når du er godkendt.

Der er tre typer af sårbarheder, som deltagerne ser efter. For det første er sårbarheder med ekstern kodeudførelse dem, der giver en hacker adgang til en brugers enhed og foretage ændringer. Dette er meget alvorlige sikkerhedsspørgsmål.

For det andet er der spørgsmålet om tyveri af usikre private data. Det er her en sårbarhed giver en hacker mulighed for at stjæle personlige oplysninger såsom loginoplysninger, webhistorik eller kontaktlister.

For det tredje er der adgang til beskyttede appkomponenter. Dette henviser til apps, der udfører funktioner, som de ikke har tilladelse til. F.eks. En app, der sender SMS-beskeder, selvom den ikke har tilladelse fra brugeren til at gøre det.

Programmet dækker ikke nogle sikkerhedsproblemer. For eksempel er phishing-angreb, selv om de potentielt farlige, ikke kvalificerede. Dette skyldes, at de fungerer ved at narre brugeren og ikke ved at køre ondsindet kode. Programmet dækker heller ikke angreb, der kræver fysisk adgang til en enhed.

Når du har fundet en fejl, skal du kontakte appens udvikler for at fortælle dem det. Derefter kan du arbejde sammen med udvikleren for at løse problemet. Når sårbarheden er løst, kan du kræve din kontante belønning fra Google.

Optjen vederlag for at opdage misbrug af data med apps

Tjen penge på at finde sikkerhedsproblemer i Google Play Apps - Misbrug af data

Google tilbyder ikke kun belønning for at finde sikkerhedsfejl. Det forsøger at slå ned på apps, der også stjæler brugerdata. For nylig lancerede virksomheden sin Belønningsprogram for udviklerdatabeskyttelse (DDPRP), der tilbyder lignende belønninger for udviklere, der afslører misbrug af data ved hjælp af apps.

De typer misbrug af data, som programmet leder efter, er apps, der indsamler og sælger brugerdata på en måde, der er i strid med Googles privatlivspolitik. For eksempel kan dette være en app, der indsamler data fra brugernes kontaktbøger såsom metadata, der viser, hvem de kaldte, og hvornår, uden at beskytte dette som følsomme data.

Det dækker også apps, der overtræder regler om tilladelser, såsom en app, der har adgang til SMS-tilladelser, men bruger dette til at indsamle data om brugernes SMS-beskeder til at sælge videre til tredje parter. Alternativt dækker det en app, der beder om tilladelse til at få adgang til kontaktdata og derefter genbruge disse data for en ikke-relateret app.

Hvis du vil se flere detaljer om nøjagtigt, hvilke typer misbrug af data der er kvalificeret til programmet, kan du se på DDPRP-websted. Som med bug-bounty-programmet, er enhver app i Play Store med mere end 100 millioner installationer kvalificeret.

De belønninger, der tilbydes for at opdage fejl

Der er kontante belønninger, der tilbydes for både bugbelønningen og programmene for misbrug af data. Det beløb, der udbetales for en enkelt rapport, afhænger af sværhedsgraden af ​​problemet. Det afhænger også af kvaliteten af ​​den rapport, der er sendt til Google.

Belønningen for Google Play Security Reward-programmet spænder fra $ 5.000 til $ 20.000 for fjern kodeudførelsesfejl, fra $ 1.000 til $ 3.000 for tyveri af usikre private data, og fra $ 1.000 til $ 3.000 for adgang til beskyttet app komponenter. Derudover er der bonus til at afsløre sårbarhederne til appsudviklerne på en ansvarlig måde. Dette giver udviklerne mulighed for at løse problemet.

Belønningerne for Developer Data Protection Reward Program varierer fra $ 100 til $ 1000. For at kræve belønningen skal du indsende en rapport. Du skal skrive oplysninger om, hvilken datapolitik blev overtrådt, hvordan data blev misbrugt, og en liste over tidspunkter, hvor appen overtrådte politikkerne.

Tjen penge ved sikkerhedsmæssige sårbarheder ved jagt

Googles bounty-program for bug og data misbrug giver dig mulighed for at tjene penge. De lader dig også hjælpe med at forbedre sikkerheden for apps, der distribueres via Play Store. Hvis du er interesseret i flere muligheder for bugjagt, kan du også se andre virksomheders programmer. For nogle eksempler, se vores liste over fantastiske bug-bonusprogrammer til at tjene lommepenge 25 Awesome "Bug Bounty" -programmer til at tjene lommepengeHvis du har ekspertise inden for sikkerhedsprotokoller, kan du tjene nogle ekstra penge på at jage efter bugs i populære apps og websteder og blive belønnet med en bug-bounty. Her er de bedst betalte programmer i 2016. Læs mere .

Georgina er en videnskabs- og teknologiforfatter, der bor i Berlin og har en ph.d. i psykologi. Når hun ikke skriver, er hun normalt at finde ud af, at hun klirrer med sin pc eller cykler, og du kan se mere af hendes skrivning på georginatorbet.com.