Cum să faci bani găsind probleme de securitate în aplicațiile Android

Dacă sunteți un dezvoltator de aplicații Android cu capacitatea de a găsi probleme de securitate, puteți câștiga bani arătându-vă talentul la Google. Hackerii au adus aplicații infectate cu malware în Google Play Store, dintre care unele au avut milioane de descărcări.

Ca răspuns la aceasta, Google a deschis un program Bug Bounty (un program de recompensă pentru vulnerabilitățile descoperite de utilizatori) care permite dezvoltatorilor să găsească probleme de securitate în multe aplicații populare. Anterior au fost incluse doar câteva aplicații. Acum, toate aplicațiile populare din Play Store fac parte din program. Programul plătește recompense în numerar dezvoltatorilor care găsesc și raportează probleme de securitate.

Găsirea problemelor de securitate în aplicațiile Android - Oportunitatea ta de a câștiga bani de la Google

• De ce a creat Google programul Bug Bounty?
• Cum să participi la programul Bug Bounty?
• Câștigați recompense pentru detectarea abuzului de date de către aplicațiile în sine
• Care este recompensa pentru găsirea unei anumite erori?

De ce a creat Google programul Bug Bounty?

Google are de mult timp un program Bug Bounty pentru propriile aplicații. La fel ca multe companii, Google oferă recompense dezvoltatorilor care descoperă probleme pe site-urile sale. Compania oferă, de asemenea, recompense pentru găsirea erorilor în browserul său Chrome sau în sistemul de operare Chrome. Dar recent, Google a făcut un pas mai departe, oferind recompense pentru erorile găsite în aplicațiile multor alte companii.

Primul pas al programului Play Store Bug Bounty se aplică doar unui număr foarte mic de aplicații de top. Acum, Google a extins programul pentru a acoperi orice aplicație din Magazinul Play cu peste 100 de milioane de instalări. Aceasta înseamnă că există mai multe oportunități pentru vânătorii de erori de a descoperi probleme în aplicațiile Magazinului Play și de a fi recompensați pentru raportarea acestora, chiar dacă dezvoltatorii de aplicații nu oferă programe de erori. Propria lor recompensă.

Google a declarat că a introdus programul de mai sus în speranța de a încuraja comunitatea să-și dea mâinile pentru a îmbunătăți securitatea pentru toată lumea. Prin urmare, Google încurajează vânătorii de erori să descopere probleme și să le raporteze dezvoltatorilor de aplicații și Google. Acest lucru oferă dezvoltatorilor nativi de aplicații posibilitatea de a remedia rapid erorile. Și asta înseamnă o securitate mai bună pentru toți cei care folosesc aplicații Android.

Cum să participi la programul Bug Bounty?

Programul Bug Bounty de pe Play Store se numește Programul de recompense de securitate Google Play (GPSRP) . Google invită cercetătorii de securitate și dezvoltatorii de aplicații să participe. Primul pas este să completați un formular de înscriere pentru a vă înscrie în program. După aprobare, puteți căuta probleme de securitate în orice aplicație eligibilă din Magazinul Play.

Există trei tipuri de vulnerabilități pe care le caută participanții. În primul rând, vulnerabilitățile Remote Code Execution sunt vulnerabilități care permit hackerilor să acceseze dispozitivul unui utilizator și să facă modificări. Acestea sunt probleme de securitate foarte serioase.

În al doilea rând este problema furtului de date private nesecurizate. Aici o vulnerabilitate permite hackerilor să fure informații personale, cum ar fi acreditările de conectare, istoricul web sau listele de contacte.

În al treilea rând este accesul la componentele aplicației protejate. Aceasta se referă la aplicațiile care îndeplinesc funcții pentru care nu au permisiunea. De exemplu, o aplicație trimite mesaje SMS chiar și atunci când nu are permisiunea utilizatorului să facă acest lucru.

Programul nu acoperă unele probleme de securitate. De exemplu, atacurile de tip phishing , deși potenţial foarte periculoase, nu sunt eligibile pentru program. Motivul este că aceștia funcționează prin fraudarea utilizatorilor, nu prin rularea de coduri rău intenționate. De asemenea, programul nu acoperă atacurile care necesită acces fizic la dispozitiv.

Când descoperiți o eroare, ar trebui să contactați dezvoltatorul aplicației pentru a-i informa. Apoi puteți lucra împreună cu acel dezvoltator pentru a remedia problema. Odată ce vulnerabilitatea a fost rezolvată, puteți solicita o recompensă în numerar de la Google.

Câștigați recompense pentru detectarea abuzului de date de către aplicațiile în sine

Google nu oferă doar recompense pentru găsirea erorilor de securitate. De asemenea, compania încearcă să „suprime” aplicațiile care fură datele utilizatorilor. Recent, compania a lansat Programul de recompense pentru protecția datelor pentru dezvoltatori (DDPRP) , care oferă recompense similare dezvoltatorilor care descoperă utilizarea greșită a datelor de către aplicații.

Tipurile de abuz de date pe care programul le caută sunt aplicațiile care colectează și vând date despre utilizatori în moduri care contravin politicilor de confidențialitate ale Google. De exemplu, aceasta ar putea fi o aplicație care colectează date din agendele de contacte ale utilizatorilor, cum ar fi metadate despre cine au sunat și când, fără a fi protejate ca date sensibile.

Programul va include, de asemenea, aplicații care încalcă regulile de permisiuni, cum ar fi aplicațiile care au acces la SMS-uri, dar care le folosesc pentru a colecta date despre utilizatorii de SMS-uri și a le vinde unor terți. În plus, include și o aplicație care solicită permisiunea de a accesa datele de contact și apoi reutiliza acele date pentru o aplicație fără legătură.

Pentru a vedea detalii mai precise despre tipurile de abuz de date care se califică pentru program, puteți vedea site-ul web DDPRP . Ca și în cazul programului Bug Bounty, orice aplicație din Magazinul Play cu peste 100 de milioane de instalări este eligibilă.

Care este recompensa pentru găsirea unei anumite erori?

Există recompense în numerar acordate atât în ​​programele de detectare a erorilor, cât și a abuzului de date. Suma plătită pentru orice raport depinde de gravitatea problemei. Depinde și de calitatea raportului trimis către Google.

Recompensele pentru Programul de recompense de securitate Google Play variază de la 5.000 USD la 20.000 USD pentru erori de execuție a codului de la distanță, de la 1.000 USD la 3.000 USD pentru furtul de date private nesecurizate și de la 1.000 USD la 3.000 USD pentru accesul la componente. Partea aplicației este protejată. În plus, există recompense pentru detectarea vulnerabilităților pentru dezvoltatorii responsabili de aplicații. Acest lucru oferă dezvoltatorilor posibilitatea de a rezolva problema.

Programul de recompense pentru protecția datelor pentru dezvoltatori variază de la 100 USD la 1000 USD. Pentru a primi recompensa, trebuie să trimiteți un raport. Ar trebui să notați în mod clar informații despre ce politici de date au fost încălcate, cum au fost abuzate datele și o listă a numărului de cazuri în care aplicația a încălcat politicile.

Programele Google de detectare a abuzului de date și a erorilor vă oferă posibilitatea de a câștiga bani. De asemenea, vă permit să ajutați la îmbunătățirea securității aplicațiilor distribuite prin Magazinul Play. Dacă sunteți interesat de mai multe oportunități de vânătoare de erori, puteți consulta și programele altor companii.

Noroc!