Jak zarabiać pieniądze, wyszukując problemy bezpieczeństwa w aplikacjach na Androida

Jeśli jesteś programistą aplikacji na Androida i potrafisz znajdować problemy związane z bezpieczeństwem, możesz zarabiać pieniądze, pokazując Google swój talent. Hakerzy przenieśli do Sklepu Google Play aplikacje zainfekowane złośliwym oprogramowaniem, a niektóre z nich zostały pobrane miliony razy.

W odpowiedzi Google uruchomiło program Bug Bounty (program nagradzania za luki wykryte przez użytkowników), który umożliwia programistom znajdowanie problemów związanych z bezpieczeństwem w wielu popularnych aplikacjach. Wcześniej uwzględniono tylko kilka aplikacji. Teraz częścią programu są wszystkie popularne aplikacje ze Sklepu Play. Program wypłaca nagrody pieniężne programistom, którzy znajdą i zgłoszą problemy związane z bezpieczeństwem.

Znajdowanie problemów związanych z bezpieczeństwem w aplikacjach na Androida — Twoja szansa na zarabianie pieniędzy w Google

• Dlaczego Google stworzyło program Bug Bounty?
• Jak wziąć udział w programie Bug Bounty?
• Zdobywaj nagrody za wykrywanie nadużyć danych przez same aplikacje
• Jaka jest nagroda za znalezienie konkretnego błędu?

Dlaczego Google stworzyło program Bug Bounty?

Google od dawna prowadzi program Bug Bounty dla własnych aplikacji. Podobnie jak wiele firm, Google oferuje nagrody programistom, którzy odkryją problemy w jej witrynach internetowych. Firma oferuje także nagrody za znalezienie błędów w przeglądarce Chrome lub systemie operacyjnym Chrome. Jednak ostatnio Google poszedł o krok dalej, oferując nagrody za błędy znalezione także w aplikacjach wielu innych firm.

Pierwszy etap programu Bug Bounty w Sklepie Play dotyczy tylko bardzo małej liczby najlepszych aplikacji. Teraz Google rozszerzyło program, aby objąć dowolną aplikację w Sklepie Play z ponad 100 milionami instalacji. Oznacza to, że łowcy błędów mają więcej możliwości wykrywania problemów w aplikacjach ze Sklepu Play i otrzymywania nagród za ich zgłaszanie, nawet jeśli twórcy aplikacji nie oferują programów błędów. Ich własna nagroda.

Firma Google oświadczyła, że ​​wprowadziła powyższy program w nadziei, że zachęci społeczność do połączenia rąk w celu poprawy bezpieczeństwa dla wszystkich. Dlatego Google zachęca łowców błędów do wykrywania problemów i zgłaszania ich twórcom aplikacji i firmie Google. Daje to twórcom aplikacji natywnych możliwość szybkiego naprawiania błędów. A to oznacza większe bezpieczeństwo dla każdego, kto korzysta z aplikacji na Androida.

Jak wziąć udział w programie Bug Bounty?

Program Bug Bounty w Sklepie Play nosi nazwę Google Play Security Reward Program (GPSRP) . Google zaprasza do udziału badaczy bezpieczeństwa i twórców aplikacji. Pierwszym krokiem jest wypełnienie formularza zgłoszeniowego , aby dołączyć do programu. Po zatwierdzeniu możesz wyszukiwać problemy dotyczące bezpieczeństwa w dowolnej kwalifikującej się aplikacji w Sklepie Play.

Uczestnicy poszukują trzech typów luk w zabezpieczeniach. Po pierwsze, luki umożliwiające zdalne wykonanie kodu to luki, które pozwalają hakerom uzyskać dostęp do urządzenia użytkownika i wprowadzić zmiany. Są to bardzo poważne problemy związane z bezpieczeństwem.

Drugi to problem kradzieży niezabezpieczonych danych prywatnych. W tym miejscu luka umożliwia hakerom kradzież danych osobowych, takich jak dane logowania, historia przeglądania stron internetowych czy listy kontaktów.

Trzeci to dostęp do chronionych komponentów aplikacji. Odnosi się to do aplikacji, które wykonują funkcje, do których nie mają uprawnień. Na przykład aplikacja wysyła wiadomości SMS, nawet jeśli nie ma na to zgody użytkownika.

Program nie obejmuje niektórych zagadnień związanych z bezpieczeństwem. Na przykład ataki phishingowe , chociaż potencjalnie bardzo niebezpieczne, nie kwalifikują się do programu. Powodem jest to, że działają poprzez oszukiwanie użytkowników, a nie uruchamianie złośliwego kodu. Program nie obejmuje także ataków wymagających fizycznego dostępu do urządzenia.

Gdy odkryjesz błąd, skontaktuj się z twórcą aplikacji i poinformuj go o tym. Następnie możesz współpracować z tym programistą, aby rozwiązać problem. Po usunięciu luki możesz poprosić Google o nagrodę pieniężną.

Zdobywaj nagrody za wykrywanie nadużyć danych przez same aplikacje

Google oferuje nie tylko nagrody za znalezienie błędów bezpieczeństwa. Firma stara się także „eliminować” aplikacje kradnące dane użytkowników. Niedawno firma uruchomiła program nagród za ochronę danych dla programistów (DDPRP) , który oferuje podobne nagrody programistom, którzy wykryją niewłaściwe wykorzystanie danych przez aplikacje.

Rodzaje nadużyć danych, których szuka program, to aplikacje, które zbierają i sprzedają dane użytkowników w sposób sprzeczny z polityką prywatności Google. Może to być na przykład aplikacja, która zbiera dane z książek kontaktowych użytkowników, takie jak metadane o tym, do kogo dzwonili i kiedy, bez ochrony jako dane wrażliwe.

W programie znajdą się także aplikacje, które naruszają zasady uprawnień, np. aplikacje, które mają dostęp do SMS-ów, ale wykorzystują to do zbierania danych o użytkownikach SMS-ów i sprzedawania ich osobom trzecim. Dodatkowo zawiera także aplikację proszącą o pozwolenie na dostęp do danych kontaktowych, a następnie wykorzystującą te dane w niepowiązanej aplikacji.

Aby uzyskać bardziej szczegółowe informacje na temat rodzajów nadużyć danych kwalifikujących się do programu, odwiedź witrynę DDPRP . Podobnie jak w przypadku programu Bug Bounty, kwalifikuje się dowolna aplikacja w Sklepie Play, która ma ponad 100 milionów instalacji.

Jaka jest nagroda za znalezienie konkretnego błędu?

W programach wykrywania błędów i nadużyć danych przyznawane są nagrody pieniężne. Kwota zapłacona za raport zależy od wagi problemu. Zależy to także od jakości raportu wysyłanego do Google.

Nagrody w programie nagród za bezpieczeństwo Google Play wahają się od 5000 do 20 000 dolarów za błędy w zdalnym wykonaniu kodu, od 1000 do 3000 dolarów za kradzież niezabezpieczonych prywatnych danych i od 1000 do 3000 dolarów za dostęp do komponentów. Część aplikacji jest chroniona. Dodatkowo za wykrycie luk w zabezpieczeniach przewidziano nagrody dla odpowiedzialnych twórców aplikacji. Daje to programistom możliwość rozwiązania problemu.

Nagrody w programie nagród za ochronę danych dla programistów wahają się od 100 do 1000 dolarów. Aby otrzymać nagrodę należy przesłać raport. Powinieneś wyraźnie zapisać informacje o tym, które zasady dotyczące danych zostały naruszone, w jaki sposób doszło do nadużycia oraz listę przypadków, w których aplikacja naruszyła te zasady.

Programy Google do wykrywania nadużyć i błędów w danych dają Ci możliwość zarobienia pieniędzy. Umożliwiają także poprawę bezpieczeństwa aplikacji rozpowszechnianych w Sklepie Play. Jeśli interesują Cię większe możliwości polowania na błędy, możesz także sprawdzić programy innych firm.

Powodzenia!