Como ganhar dinheiro encontrando problemas de segurança em aplicativos Android

Se você é um desenvolvedor de aplicativos Android com capacidade de encontrar problemas de segurança, pode ganhar dinheiro exibindo seu talento ao Google. Os hackers trouxeram aplicativos infectados por malware para a Google Play Store, alguns dos quais tiveram milhões de downloads.

Em resposta a isso, o Google abriu um programa Bug Bounty (um programa de recompensa por vulnerabilidades descobertas pelos usuários) que permite aos desenvolvedores encontrar problemas de segurança em muitos aplicativos populares. Anteriormente, apenas alguns aplicativos eram incluídos. Agora, todos os aplicativos populares da Play Store fazem parte do programa. O programa paga recompensas em dinheiro aos desenvolvedores que encontram e relatam problemas de segurança.

Encontrando problemas de segurança em aplicativos Android – sua oportunidade de ganhar dinheiro com o Google

• Por que o Google criou o programa Bug Bounty?
• Como participar do programa Bug Bounty?
• Ganhe recompensas por detectar abuso de dados pelos próprios aplicativos
• Qual é a recompensa por encontrar um bug específico?

Por que o Google criou o programa Bug Bounty?

O Google já tem um programa Bug Bounty para seus próprios aplicativos há muito tempo. Assim como muitas empresas, o Google oferece recompensas aos desenvolvedores que descobrem problemas em seus sites. A empresa também oferece recompensas por encontrar bugs no navegador Chrome ou no sistema operacional Chrome. Mas recentemente, o Google deu um passo além, oferecendo recompensas por bugs encontrados também em aplicativos de muitas outras empresas.

A primeira etapa do programa Play Store Bug Bounty se aplica apenas a um número muito pequeno dos principais aplicativos. Agora, o Google expandiu o programa para cobrir qualquer aplicativo da Play Store com mais de 100 milhões de instalações. Isso significa que há mais oportunidades para os caçadores de bugs descobrirem problemas em aplicativos da Play Store e serem recompensados ​​por relatá-los, mesmo que os desenvolvedores de aplicativos não ofereçam programas de bugs.

O Google disse que introduziu o programa acima na esperança de encorajar a comunidade a dar as mãos para melhorar a segurança para todos. Portanto, o Google incentiva os caçadores de bugs a descobrir problemas e reportá-los aos desenvolvedores de aplicativos e ao Google. Isso dá aos desenvolvedores de aplicativos nativos a oportunidade de corrigir bugs rapidamente. E isso significa melhor segurança para todos que usam aplicativos Android.

Como participar do programa Bug Bounty?

O programa Bug Bounty na Play Store é denominado Google Play Security Reward Program (GPSRP) . O Google convida pesquisadores de segurança e desenvolvedores de aplicativos para participarem. O primeiro passo é preencher um formulário de inscrição para aderir ao programa. Você pode pesquisar problemas de segurança em qualquer aplicativo qualificado na Play Store, uma vez aprovado.

Existem três tipos de vulnerabilidades que os participantes procuram. Primeiro, as vulnerabilidades de execução remota de código são vulnerabilidades que permitem que hackers acessem o dispositivo de um usuário e façam alterações. Estas são questões de segurança muito sérias.

Em segundo lugar está o problema do roubo de dados privados não protegidos. É aqui que uma vulnerabilidade permite que hackers roubem informações pessoais, como credenciais de login, histórico da web ou listas de contatos.

O terceiro é o acesso a componentes de aplicativos protegidos. Refere-se a aplicativos que executam funções para as quais não têm permissão. Por exemplo, um aplicativo envia mensagens SMS mesmo quando não possui permissão do usuário para fazê-lo.

O programa não cobre algumas questões de segurança. Por exemplo, ataques de phishing , embora potencialmente muito perigosos, não são elegíveis para o programa. A razão é porque eles operam fraudando os usuários, e não executando códigos maliciosos. O programa também não cobre ataques que exijam acesso físico ao dispositivo.

Ao descobrir um erro, você deve entrar em contato com o desenvolvedor do aplicativo para informá-lo. Você pode então trabalhar junto com esse desenvolvedor para corrigir o problema. Depois que a vulnerabilidade for resolvida, você poderá solicitar uma recompensa em dinheiro do Google.

Ganhe recompensas por detectar abuso de dados pelos próprios aplicativos

O Google não oferece recompensas apenas por encontrar bugs de segurança. A empresa também está tentando “suprimir” aplicativos que roubam dados dos usuários. Recentemente, a empresa lançou o Programa de Recompensa de Proteção de Dados para Desenvolvedores (DDPRP) , que oferece recompensas semelhantes para desenvolvedores que descobrirem uso indevido de dados por aplicativos.

Os tipos de abuso de dados que o programa procura são aplicativos que coletam e vendem dados do usuário de maneiras que vão contra as políticas de privacidade do Google. Por exemplo, poderia ser um aplicativo que coleta dados das agendas de contatos dos usuários, como metadados sobre quem eles ligaram e quando, sem serem protegidos como dados confidenciais.

O programa também incluirá aplicativos que violam regras de permissão, como aplicativos que têm acesso a SMS, mas usam isso para coletar dados sobre usuários de SMS e vendê-los a terceiros. Além disso, também inclui um aplicativo que solicita permissão para acessar dados de contato e depois reutiliza esses dados para um aplicativo não relacionado.

Para ver detalhes mais precisos sobre os tipos de abuso de dados que se qualificam para o programa, você pode consultar o site do DDPRP . Tal como acontece com o programa Bug Bounty, qualquer aplicativo na Play Store com mais de 100 milhões de instalações é elegível.

Qual é a recompensa por encontrar um bug específico?

Existem recompensas em dinheiro concedidas em programas de detecção de bugs e abuso de dados. O valor pago por qualquer relatório depende da gravidade do problema. Depende também da qualidade do relatório enviado ao Google.

As recompensas do programa de recompensa de segurança do Google Play variam de US$ 5.000 a US$ 20.000 para bugs de execução remota de código, de US$ 1.000 a US$ 3.000 para roubo de dados privados não protegidos e de US$ 1.000 a US$ 3.000 para acesso a componentes. Além disso, há recompensas pela detecção de vulnerabilidades para desenvolvedores de aplicativos responsáveis. Isso dá aos desenvolvedores a oportunidade de corrigir o problema.

As recompensas do programa de recompensa de proteção de dados para desenvolvedores variam de US$ 100 a US$ 1.000. Para receber a recompensa, você precisa enviar um relatório. Você deve anotar claramente as informações sobre quais políticas de dados foram violadas, como os dados foram abusados ​​e uma lista do número de vezes que o aplicativo violou as políticas.

Os programas de abuso de dados e detecção de erros do Google oferecem a você a oportunidade de ganhar dinheiro. Eles também permitem ajudar a melhorar a segurança dos aplicativos distribuídos pela Play Store. Se estiver interessado em mais oportunidades de caça a bugs, você também pode conferir os programas de outras empresas.

Boa sorte!