Cómo ganar dinero encontrando problemas de seguridad en aplicaciones de Android

Si eres un desarrollador de aplicaciones de Android con la capacidad de encontrar problemas de seguridad, puedes ganar dinero mostrando tu talento a Google. Los piratas informáticos han introducido aplicaciones infectadas con malware en Google Play Store, algunas de las cuales han tenido millones de descargas.

En respuesta a esto, Google abrió un programa Bug Bounty (un programa de recompensa por vulnerabilidades descubiertas por los usuarios) que permite a los desarrolladores encontrar problemas de seguridad en muchas aplicaciones populares. Anteriormente sólo se incluían unas pocas aplicaciones. Ahora, todas las aplicaciones populares de Play Store son parte del programa. El programa paga recompensas en efectivo a los desarrolladores que encuentran e informan problemas de seguridad.

Encontrar problemas de seguridad en aplicaciones de Android: su oportunidad de ganar dinero con Google

• ¿Por qué Google creó el programa Bug Bounty?
• ¿Cómo participar en el programa Bug Bounty?
• Obtenga recompensas por detectar el abuso de datos por parte de las propias aplicaciones
• ¿Cuál es la recompensa por encontrar un error específico?

¿Por qué Google creó el programa Bug Bounty?

Google cuenta desde hace tiempo con un programa Bug Bounty para sus propias aplicaciones. Como muchas empresas, Google ofrece recompensas a los desarrolladores que descubren problemas en sus sitios web. La compañía también ofrece recompensas por encontrar errores en su navegador Chrome o en su sistema operativo Chrome. Pero recientemente, Google ha ido un paso más allá al ofrecer recompensas por errores encontrados en las aplicaciones de muchas otras empresas.

El primer paso del programa Bug Bounty de Play Store solo se aplica a una cantidad muy pequeña de las principales aplicaciones. Ahora, Google ha ampliado el programa para cubrir cualquier aplicación en Play Store con más de 100 millones de instalaciones. Esto significa que hay más oportunidades para que los cazadores de errores descubran problemas en las aplicaciones de Play Store y sean recompensados ​​por informarlos, incluso si los desarrolladores de aplicaciones no ofrecen programas de errores.

Google dijo que presentó el programa anterior con la esperanza de alentar a la comunidad a unirse para mejorar la seguridad para todos. Por lo tanto, Google anima a los cazadores de errores a descubrir problemas e informarlos a los desarrolladores de aplicaciones y a Google. Esto brinda a los desarrolladores de aplicaciones nativas la oportunidad de corregir errores rápidamente. Y eso significa una mayor seguridad para todos los que usan aplicaciones de Android.

¿Cómo participar en el programa Bug Bounty?

El programa Bug Bounty en Play Store se llama Programa de recompensas de seguridad de Google Play (GPSRP) . Google invita a participar a investigadores de seguridad y desarrolladores de aplicaciones. El primer paso es completar un formulario de solicitud para unirse al programa. Puede buscar problemas de seguridad en cualquier aplicación elegible en Play Store una vez aprobada.

Hay tres tipos de vulnerabilidades que buscan los participantes. En primer lugar, las vulnerabilidades de ejecución remota de código son vulnerabilidades que permiten a los piratas informáticos acceder al dispositivo de un usuario y realizar cambios. Estos son problemas de seguridad muy serios.

En segundo lugar está el problema del robo de datos privados no seguros. Aquí es donde una vulnerabilidad permite a los piratas informáticos robar información personal, como credenciales de inicio de sesión, historial web o listas de contactos.

En tercer lugar está el acceso a los componentes protegidos de la aplicación. Esto se refiere a aplicaciones que realizan funciones para las que no tienen permiso. Por ejemplo, una aplicación envía mensajes SMS incluso cuando no tiene el permiso del usuario para hacerlo.

El programa no cubre algunas cuestiones de seguridad. Por ejemplo, los ataques de phishing , aunque potencialmente muy peligrosos, no son elegibles para el programa. La razón es que operan defraudando a los usuarios, no ejecutando código malicioso. El programa tampoco cubre ataques que requieran acceso físico al dispositivo.

Cuando descubra un error, debe comunicarse con el desarrollador de la aplicación para informarle. Luego podrá trabajar junto con ese desarrollador para solucionar el problema. Una vez resuelta la vulnerabilidad, podrás solicitar una recompensa en efectivo a Google.

Obtenga recompensas por detectar el abuso de datos por parte de las propias aplicaciones

Google no sólo ofrece recompensas por encontrar errores de seguridad. La empresa también está intentando "suprimir" las aplicaciones que roban datos de los usuarios. Recientemente, la compañía lanzó el Programa de recompensas por protección de datos para desarrolladores (DDPRP) , que ofrece recompensas similares a los desarrolladores que descubren un uso indebido de datos por parte de las aplicaciones.

Los tipos de abuso de datos que busca el programa son aplicaciones que recopilan y venden datos de usuarios de maneras que van en contra de las políticas de privacidad de Google. Por ejemplo, podría ser una aplicación que recopile datos de las libretas de contactos de los usuarios, como metadatos sobre a quién llamaron y cuándo, sin estar protegidos como datos sensibles.

El programa también incluirá aplicaciones que violan las reglas de permisos, como aplicaciones que tienen acceso a SMS, pero lo utilizan para recopilar datos sobre los usuarios de SMS y venderlos a terceros. Además, también incluye una aplicación que solicita permiso para acceder a los datos de contacto y luego reutiliza esos datos para una aplicación no relacionada.

Para ver detalles más precisos sobre los tipos de abuso de datos que califican para el programa, puede consultar el sitio web del DDPRP . Al igual que con el programa Bug Bounty, cualquier aplicación en Play Store con más de 100 millones de instalaciones es elegible.

¿Cuál es la recompensa por encontrar un error específico?

Se otorgan recompensas en efectivo tanto en programas de detección de errores como de abuso de datos. El monto pagado por cualquier informe depende de la gravedad del problema. También depende de la calidad del informe enviado a Google.

Las recompensas por el programa de recompensas de seguridad de Google Play oscilan entre 5.000 y 20.000 dólares por errores de ejecución remota de código, entre 1.000 y 3.000 dólares por robo de datos privados no seguros y entre 1.000 y 3.000 dólares por el acceso a componentes de la aplicación protegidos. Además, existen recompensas por detectar vulnerabilidades para los desarrolladores de aplicaciones responsables. Esto brinda a los desarrolladores la oportunidad de solucionar el problema.

Las recompensas del programa de recompensas de protección de datos para desarrolladores oscilan entre $ 100 y $ 1000. Para recibir la recompensa, debe enviar un informe. Debe anotar claramente información sobre qué políticas de datos se violaron, cómo se abusó de los datos y una lista de la cantidad de veces que la aplicación violó las políticas.

Los programas de detección de errores y abuso de datos de Google le brindan la oportunidad de ganar dinero. También te permiten ayudar a mejorar la seguridad de las aplicaciones distribuidas a través de Play Store. Si está interesado en más oportunidades de búsqueda de errores, también puede consultar los programas de otras empresas.

¡Buena suerte!