Hoe u geld kunt verdienen door beveiligingsproblemen in Android-applicaties te vinden

Als u een ontwikkelaar van Android -apps bent en beveiligingsproblemen kunt opsporen, kunt u geld verdienen door uw talent bij Google te laten zien. Hackers hebben met malware geïnfecteerde apps naar de Google Play Store gebracht, waarvan sommige miljoenen downloads hebben gehad.

Als reactie hierop heeft Google een Bug Bounty-programma geopend (een beloningsprogramma voor door gebruikers ontdekte kwetsbaarheden) waarmee ontwikkelaars beveiligingsproblemen in veel populaire applicaties kunnen opsporen. Voorheen waren er slechts enkele apps inbegrepen. Nu maken alle populaire Play Store-apps deel uit van het programma. Het programma betaalt contante beloningen aan ontwikkelaars die beveiligingsproblemen vinden en rapporteren.

Beveiligingsproblemen in Android-applicaties vinden - Uw kans om geld te verdienen met Google

• Waarom heeft Google het Bug Bounty-programma gemaakt?
• Hoe neem je deel aan het Bug Bounty-programma?
• Verdien beloningen voor het detecteren van gegevensmisbruik door apps zelf
• Wat is de beloning voor het vinden van een specifieke bug?

Waarom heeft Google het Bug Bounty-programma gemaakt?

Google heeft al langere tijd een Bug Bounty-programma voor zijn eigen apps. Zoals veel bedrijven biedt Google beloningen aan ontwikkelaars die problemen op zijn websites ontdekken. Het bedrijf biedt ook beloningen aan voor het vinden van bugs in zijn Chrome-browser of Chrome-besturingssysteem. Maar onlangs is Google nog een stap verder gegaan door beloningen aan te bieden voor bugs die ook in de apps van veel andere bedrijven worden aangetroffen.

De eerste stap van het Play Store Bug Bounty-programma geldt slechts voor een zeer klein aantal top-apps. Nu heeft Google het programma uitgebreid naar elke app in de Play Store met meer dan 100 miljoen installaties. Dit betekent dat er meer mogelijkheden zijn voor bugjagers om problemen in Play Store-apps te ontdekken en beloond te worden voor het melden ervan, zelfs als de app-ontwikkelaars geen bugprogramma's aanbieden.

Google zei dat het het bovenstaande programma heeft geïntroduceerd in de hoop de gemeenschap aan te moedigen de handen ineen te slaan om de veiligheid voor iedereen te verbeteren. Daarom moedigt Google bugjagers aan om problemen te ontdekken en deze te melden aan applicatie-ontwikkelaars en Google. Dit geeft native app-ontwikkelaars de mogelijkheid om bugs snel op te lossen. En dat betekent een betere beveiliging voor iedereen die Android-apps gebruikt.

Hoe neem je deel aan het Bug Bounty-programma?

Het Bug Bounty-programma in de Play Store heet Google Play Security Reward Program (GPSRP) . Google nodigt beveiligingsonderzoekers en applicatie-ontwikkelaars uit om deel te nemen. De eerste stap is het invullen van een aanmeldingsformulier om deel te nemen aan het programma. U kunt na goedkeuring zoeken naar beveiligingsproblemen in elke in aanmerking komende app in de Play Store.

Er zijn drie soorten kwetsbaarheden waar deelnemers naar op zoek zijn. Ten eerste zijn er kwetsbaarheden bij het uitvoeren van externe code: kwetsbaarheden waardoor hackers toegang kunnen krijgen tot het apparaat van een gebruiker en wijzigingen kunnen aanbrengen. Dit zijn zeer ernstige veiligheidsproblemen.

Ten tweede is er het probleem van diefstal van onbeveiligde privégegevens. Dit is waar een kwetsbaarheid hackers in staat stelt persoonlijke informatie te stelen, zoals inloggegevens, webgeschiedenis of contactlijsten.

Ten derde is er toegang tot beschermde applicatiecomponenten. Het gaat hier om applicaties die functies uitvoeren waarvoor ze geen toestemming hebben. Een applicatie verzendt bijvoorbeeld sms-berichten, zelfs als de gebruiker daar geen toestemming voor heeft.

Het programma dekt bepaalde beveiligingsproblemen niet. Phishing-aanvallen komen bijvoorbeeld , hoewel potentieel zeer gevaarlijk, niet in aanmerking voor het programma. De reden hiervoor is dat ze opereren door gebruikers te bedriegen, en niet door kwaadaardige code uit te voeren. Het programma dekt ook geen aanvallen waarbij fysieke toegang tot het apparaat nodig is.

Wanneer u een fout ontdekt, moet u contact opnemen met de app-ontwikkelaar om hem/haar hiervan op de hoogte te stellen. U kunt vervolgens samenwerken met die ontwikkelaar om het probleem op te lossen. Zodra de kwetsbaarheid is opgelost, kunt u bij Google een geldbeloning aanvragen.

Verdien beloningen voor het detecteren van gegevensmisbruik door apps zelf

Google biedt niet alleen beloningen voor het vinden van beveiligingsbugs. Het bedrijf probeert ook applicaties die gebruikersgegevens stelen te ‘onderdrukken’. Onlangs lanceerde het bedrijf het Developer Data Protection Reward Program (DDPRP) , dat vergelijkbare beloningen biedt aan ontwikkelaars die gegevensmisbruik door apps ontdekken.

De soorten gegevensmisbruik waar het programma naar op zoek is, zijn apps die gebruikersgegevens verzamelen en verkopen op manieren die in strijd zijn met het privacybeleid van Google. Dit kan bijvoorbeeld een applicatie zijn die gegevens verzamelt uit de contactboeken van gebruikers, zoals metadata over wie ze hebben gebeld en wanneer, zonder dat deze worden beschermd als gevoelige gegevens.

Het programma zal ook apps omvatten die toestemmingsregels schenden, zoals apps die toegang hebben tot sms, maar deze gebruiken om gegevens over sms-gebruikers te verzamelen en deze aan derden te verkopen. Daarnaast bevat het ook een app die toestemming vraagt ​​om toegang te krijgen tot contactgegevens en die gegevens vervolgens hergebruikt voor een niet-gerelateerde app.

Om preciezere details te zien over de soorten gegevensmisbruik die in aanmerking komen voor het programma, kunt u de DDPRP-website raadplegen . Net als bij het Bug Bounty-programma komt elke app in de Play Store met meer dan 100 miljoen installaties in aanmerking.

Wat is de beloning voor het vinden van een specifieke bug?

Er worden geldbeloningen toegekend in zowel bug- als datamisbruikdetectieprogramma's. Het bedrag dat voor een melding wordt betaald, is afhankelijk van de ernst van het probleem. Het hangt ook af van de kwaliteit van het rapport dat naar Google wordt verzonden.

Beloningen voor het Google Play Security Reward Program variëren van $ 5.000 tot $ 20.000 voor fouten in de uitvoering van code op afstand, van $ 1.000 tot $ 3.000 voor onbeveiligde diefstal van privégegevens, en van $ 1.000 tot $ 3.000 voor toegang tot componenten. Bovendien zijn er beloningen voor het detecteren van kwetsbaarheden voor verantwoordelijke applicatieontwikkelaars. Dit geeft ontwikkelaars de mogelijkheid om het probleem op te lossen.

De beloningen van het Developer Data Protection Reward Program variëren van $100 tot $1000. Om de beloning te ontvangen, moet u een rapport indienen. U moet duidelijk informatie opschrijven over welk gegevensbeleid is geschonden, hoe de gegevens zijn misbruikt en een lijst met het aantal keren dat de app het beleid heeft geschonden.

De programma's voor gegevensmisbruik en foutdetectie van Google bieden u de mogelijkheid om geld te verdienen. Ze laten je ook helpen de beveiliging te verbeteren van apps die via de Play Store worden gedistribueerd. Als u geïnteresseerd bent in meer mogelijkheden voor het zoeken naar bugs, kunt u ook de programma's van andere bedrijven bekijken.

Succes!