Google расширяет программу вознаграждения GPSRP и для защиты пользовательских данных вводит новую программу DDPRP

    Google официально анонсировала, что теперь за удачный поиск уязвимостей в любых приложениях для Android из Google Play Store, у которых более 100 млн. пользовательских установок, будут выплачиваться награды, а также появилась новая программа Developer Data Protection Reward Program (DDPRP), по которой будут производится выплаты за обнаружение злоупотребления пользовательскими данными.

    Google ввела в свои программы вознаграждений два основных изменения: увеличение объема программы вознаграждений за безопасность и найденные уязвимости в Google Play и запустила новую программу вознаграждений для защиты данных пользователей.

    Увеличение объема программы вознаграждения за безопасность и поиск уязвимостей в Google Play

    Сфера действия программы Google Play Security Rewards Program (GPSRP) расширена и теперь включает все приложения для Android из официального магазина Google Play с более 100 млн. зафиксированных установок. При этом разработчикам таких приложений не придется специально или дополнительно их регистрироваться или предпринимать какие-то иные шаги в Google.

    Сообщения о найденных уязвимостях в таких приложениях будут приниматься через Google Play Security Reward (GPSRP) на платформе HackerOne, а затем отчеты будут передаваться разработчикам приложений. Причем, если уязвимость подтвердится и разработчики не сумеют устранить выявленные ошибки к определенному времени, то Google может исключить такое приложение из Play Store.

    Особенность нововведения Google в том, что крупные разработчики в том числе мобильных приложений, как Facebook, Microsoft или Twitter, которые имеют собственные программы вознаграждения, не исключаются из программы GPSRP.

    В Google заявили, что специалисты по безопасности смогут сообщать о найденных уязвимостях дважды: через программу GPSRP и напрямую через программы вознаграждений самих компаний-производителей приложений, таким образом, давая шанс ИБ-исследователю дважды получать вознаграждение за свой труд.

    Порог загрузок на участие в расширенной программе GPSRP преодолели многие популярные мобильные приложения, например, WhatsApp, Facebook Messenger, Facebook, Viber, Instagram, Twitter и многие другие приложения, разработчики которых теперь могут получать новые сообщения через консоль Play Store о найденных уязвимостях.

    «За время своего существования с 2017 года программа GPSRP дала возможность более 300 тыс. разработчиков исправить более одного миллиона приложений в Google Play. На сегодняшний день GPSRP выплатил вознаграждений на сумму более 265 тыс. долларов», – отметили в Google.

    Вознаграждения будут выплачиваться согласно действующим ставкам программы GPSRP.

    По условиям программы GPSRP:

    • за обнаружение уязвимости, позволяющей удаленно исполнить код, награда $20 тыс.;
    • за обнаружение уязвимости, используя которую можно украсть данные, награда $3 тыс.;
    • за обнаружение уязвимости, используя которую можно получить доступ к защищенным компонентам приложений, награда $3 тыс.;
    • возможность атаки незащищенных соединений по схеме «человек посередине», незащищенная обработка ссылок или перенаправление URL, приводящее к фишингу, награда $500.

    В первые годы существования программы GPSRP награды были ниже, например, за уязвимость с возможностью исполнения удаленного кода выплачивали всего $5 тыс. Google подняла планку выплат в июле 2019 года, чтобы привлечь в программу больше специалистов по безопасности.

    Отчеты об уязвимостях, поступающие в GPSRP, Google каталогизирует и включает в систему App Security Improvement (ASI), которая автоматически проверяет другие приложения в Play Store на наличие таких же уязвимостей, что помогает компании извлечь максимальную выгоду из программы GPSRP.

    Внедрение новой программы вознаграждения для защиты данных пользователей

    В рамках новой программы вознаграждения Developer Data Protection Reward Program (DDPRP) Google будет поощрять специалистов по безопасности, которые найдут «достоверные и недвусмысленные доказательства» злоупотребления пользовательскими данными в сторонних приложениях, имеющих доступ к Google API, в приложениях для Android из Google Play Store, а также в приложениях и расширениях из Chrome Web Store

    Суммы выплат в рамках программы DDPRP еще не анонсированы, но Google гарантирует, что один отчет может принести до 50 тыс. долларов награды в зависимости от масштаба найденной проблемы.

    Новая программа вознаграждений DDPRP направлена на избежание ситуаций, когда конфиденциальные данные незаконно используются или продаются без согласия пользователя.

    «Необходимость нововведений стала очевидной в связи со скандалами, связанными со злоупотреблением данными, и несколькими случаями обнаружения вредоносных приложений в магазине Google Play Store в последнее время», – отметили в компании.
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 0

    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

    Самое читаемое