- PVSM.RU - https://www.pvsm.ru -
Google официально анонсировала [1], что теперь за удачный поиск уязвимостей в любых приложениях для Android из Google Play Store, у которых более 100 млн. пользовательских установок, будут выплачиваться награды, а также появилась новая программа Developer Data Protection Reward Program (DDPRP), по которой будут производится выплаты за обнаружение злоупотребления пользовательскими данными.
Google ввела в свои программы вознаграждений два основных изменения: увеличение объема программы вознаграждений за безопасность и найденные уязвимости в Google Play и запустила новую программу вознаграждений для защиты данных пользователей.
Увеличение объема программы вознаграждения за безопасность и поиск уязвимостей в Google Play
Сфера действия программы Google Play Security Rewards Program (GPSRP) расширена и теперь включает все приложения для Android из официального магазина Google Play с более 100 млн. зафиксированных установок. При этом разработчикам таких приложений не придется специально или дополнительно их регистрироваться или предпринимать какие-то иные шаги в Google.
Сообщения о найденных уязвимостях в таких приложениях будут приниматься через Google Play Security Reward (GPSRP) на платформе HackerOne [2], а затем отчеты будут передаваться разработчикам приложений. Причем, если уязвимость подтвердится и разработчики не сумеют устранить выявленные ошибки к определенному времени, то Google может исключить такое приложение из Play Store.
Особенность нововведения Google в том, что крупные разработчики в том числе мобильных приложений, как Facebook, Microsoft или Twitter, которые имеют собственные программы вознаграждения, не исключаются из программы GPSRP.
В Google заявили, что специалисты по безопасности смогут сообщать о найденных уязвимостях дважды: через программу GPSRP и напрямую через программы вознаграждений самих компаний-производителей приложений, таким образом, давая шанс ИБ-исследователю дважды получать вознаграждение за свой труд.
Порог загрузок на участие в расширенной программе GPSRP преодолели многие популярные мобильные приложения, например, WhatsApp, Facebook Messenger, Facebook, Viber, Instagram, Twitter и многие другие приложения, разработчики которых теперь могут получать новые сообщения через консоль Play Store о найденных уязвимостях.
«За время своего существования с 2017 года программа GPSRP дала возможность более 300 тыс. разработчиков исправить более одного миллиона приложений в Google Play. На сегодняшний день GPSRP выплатил вознаграждений на сумму более 265 тыс. долларов», – отметили в Google.
Вознаграждения будут выплачиваться согласно действующим ставкам программы GPSRP.
По условиям программы GPSRP:
В первые годы существования программы GPSRP награды были ниже, например, за уязвимость с возможностью исполнения удаленного кода выплачивали всего $5 тыс. Google подняла планку выплат в июле 2019 года, чтобы привлечь в программу больше специалистов по безопасности.
Отчеты об уязвимостях, поступающие в GPSRP, Google каталогизирует и включает в систему App Security Improvement (ASI) [3], которая автоматически проверяет другие приложения в Play Store на наличие таких же уязвимостей, что помогает компании извлечь максимальную выгоду из программы GPSRP.
Внедрение новой программы вознаграждения для защиты данных пользователей
В рамках новой программы вознаграждения Developer Data Protection Reward Program (DDPRP) [4] Google будет поощрять специалистов по безопасности, которые найдут «достоверные и недвусмысленные доказательства» злоупотребления пользовательскими данными в сторонних приложениях, имеющих доступ к Google API, в приложениях для Android из Google Play Store, а также в приложениях и расширениях из Chrome Web Store
Суммы выплат в рамках программы DDPRP еще не анонсированы, но Google гарантирует, что один отчет может принести до 50 тыс. долларов награды в зависимости от масштаба найденной проблемы.
Новая программа вознаграждений DDPRP направлена на избежание ситуаций, когда конфиденциальные данные незаконно используются или продаются без согласия пользователя.
«Необходимость нововведений стала очевидной в связи со скандалами, связанными со злоупотреблением данными, и несколькими случаями обнаружения вредоносных приложений в магазине Google Play Store в последнее время», – отметили в компании.
Автор: denis-19
Источник [5]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/uyazvimost/328679
Ссылки в тексте:
[1] официально анонсировала: https://android-developers.googleblog.com/2019/08/expanding-bug-bounties-on-google-play.html
[2] Google Play Security Reward (GPSRP) на платформе HackerOne: https://hackerone.com/googleplay
[3] App Security Improvement (ASI): https://developer.android.com/google/play/asi
[4] Developer Data Protection Reward Program (DDPRP): https://hackerone.com/ddp_reward_program
[5] Источник: https://habr.com/ru/post/465665/?utm_campaign=465665&utm_source=habrahabr&utm_medium=rss
Нажмите здесь для печати.