Google официально анонсировала, что теперь за удачный поиск уязвимостей в любых приложениях для Android из Google Play Store, у которых более 100 млн. пользовательских установок, будут выплачиваться награды, а также появилась новая программа Developer Data Protection Reward Program (DDPRP), по которой будут производится выплаты за обнаружение злоупотребления пользовательскими данными.
Google ввела в свои программы вознаграждений два основных изменения: увеличение объема программы вознаграждений за безопасность и найденные уязвимости в Google Play и запустила новую программу вознаграждений для защиты данных пользователей.
Увеличение объема программы вознаграждения за безопасность и поиск уязвимостей в Google Play
Сфера действия программы Google Play Security Rewards Program (GPSRP) расширена и теперь включает все приложения для Android из официального магазина Google Play с более 100 млн. зафиксированных установок. При этом разработчикам таких приложений не придется специально или дополнительно их регистрироваться или предпринимать какие-то иные шаги в Google.
Сообщения о найденных уязвимостях в таких приложениях будут приниматься через Google Play Security Reward (GPSRP) на платформе HackerOne, а затем отчеты будут передаваться разработчикам приложений. Причем, если уязвимость подтвердится и разработчики не сумеют устранить выявленные ошибки к определенному времени, то Google может исключить такое приложение из Play Store.
Особенность нововведения Google в том, что крупные разработчики в том числе мобильных приложений, как Facebook, Microsoft или Twitter, которые имеют собственные программы вознаграждения, не исключаются из программы GPSRP.
В Google заявили, что специалисты по безопасности смогут сообщать о найденных уязвимостях дважды: через программу GPSRP и напрямую через программы вознаграждений самих компаний-производителей приложений, таким образом, давая шанс ИБ-исследователю дважды получать вознаграждение за свой труд.
Порог загрузок на участие в расширенной программе GPSRP преодолели многие популярные мобильные приложения, например, WhatsApp, Facebook Messenger, Facebook, Viber, Instagram, Twitter и многие другие приложения, разработчики которых теперь могут получать новые сообщения через консоль Play Store о найденных уязвимостях.
«За время своего существования с 2017 года программа GPSRP дала возможность более 300 тыс. разработчиков исправить более одного миллиона приложений в Google Play. На сегодняшний день GPSRP выплатил вознаграждений на сумму более 265 тыс. долларов», – отметили в Google.
Вознаграждения будут выплачиваться согласно действующим ставкам программы GPSRP.
По условиям программы GPSRP:
В первые годы существования программы GPSRP награды были ниже, например, за уязвимость с возможностью исполнения удаленного кода выплачивали всего $5 тыс. Google подняла планку выплат в июле 2019 года, чтобы привлечь в программу больше специалистов по безопасности.
Отчеты об уязвимостях, поступающие в GPSRP, Google каталогизирует и включает в систему App Security Improvement (ASI), которая автоматически проверяет другие приложения в Play Store на наличие таких же уязвимостей, что помогает компании извлечь максимальную выгоду из программы GPSRP.
Внедрение новой программы вознаграждения для защиты данных пользователей
В рамках новой программы вознаграждения Developer Data Protection Reward Program (DDPRP) Google будет поощрять специалистов по безопасности, которые найдут «достоверные и недвусмысленные доказательства» злоупотребления пользовательскими данными в сторонних приложениях, имеющих доступ к Google API, в приложениях для Android из Google Play Store, а также в приложениях и расширениях из Chrome Web Store
Суммы выплат в рамках программы DDPRP еще не анонсированы, но Google гарантирует, что один отчет может принести до 50 тыс. долларов награды в зависимости от масштаба найденной проблемы.
Новая программа вознаграждений DDPRP направлена на избежание ситуаций, когда конфиденциальные данные незаконно используются или продаются без согласия пользователя.
«Необходимость нововведений стала очевидной в связи со скандалами, связанными со злоупотреблением данными, и несколькими случаями обнаружения вредоносных приложений в магазине Google Play Store в последнее время», – отметили в компании.
Google ввела в свои программы вознаграждений два основных изменения: увеличение объема программы вознаграждений за безопасность и найденные уязвимости в Google Play и запустила новую программу вознаграждений для защиты данных пользователей.
Увеличение объема программы вознаграждения за безопасность и поиск уязвимостей в Google Play
Сфера действия программы Google Play Security Rewards Program (GPSRP) расширена и теперь включает все приложения для Android из официального магазина Google Play с более 100 млн. зафиксированных установок. При этом разработчикам таких приложений не придется специально или дополнительно их регистрироваться или предпринимать какие-то иные шаги в Google.
Сообщения о найденных уязвимостях в таких приложениях будут приниматься через Google Play Security Reward (GPSRP) на платформе HackerOne, а затем отчеты будут передаваться разработчикам приложений. Причем, если уязвимость подтвердится и разработчики не сумеют устранить выявленные ошибки к определенному времени, то Google может исключить такое приложение из Play Store.
Особенность нововведения Google в том, что крупные разработчики в том числе мобильных приложений, как Facebook, Microsoft или Twitter, которые имеют собственные программы вознаграждения, не исключаются из программы GPSRP.
В Google заявили, что специалисты по безопасности смогут сообщать о найденных уязвимостях дважды: через программу GPSRP и напрямую через программы вознаграждений самих компаний-производителей приложений, таким образом, давая шанс ИБ-исследователю дважды получать вознаграждение за свой труд.
Порог загрузок на участие в расширенной программе GPSRP преодолели многие популярные мобильные приложения, например, WhatsApp, Facebook Messenger, Facebook, Viber, Instagram, Twitter и многие другие приложения, разработчики которых теперь могут получать новые сообщения через консоль Play Store о найденных уязвимостях.
«За время своего существования с 2017 года программа GPSRP дала возможность более 300 тыс. разработчиков исправить более одного миллиона приложений в Google Play. На сегодняшний день GPSRP выплатил вознаграждений на сумму более 265 тыс. долларов», – отметили в Google.
Вознаграждения будут выплачиваться согласно действующим ставкам программы GPSRP.
По условиям программы GPSRP:
- за обнаружение уязвимости, позволяющей удаленно исполнить код, награда $20 тыс.;
- за обнаружение уязвимости, используя которую можно украсть данные, награда $3 тыс.;
- за обнаружение уязвимости, используя которую можно получить доступ к защищенным компонентам приложений, награда $3 тыс.;
- возможность атаки незащищенных соединений по схеме «человек посередине», незащищенная обработка ссылок или перенаправление URL, приводящее к фишингу, награда $500.
В первые годы существования программы GPSRP награды были ниже, например, за уязвимость с возможностью исполнения удаленного кода выплачивали всего $5 тыс. Google подняла планку выплат в июле 2019 года, чтобы привлечь в программу больше специалистов по безопасности.
Отчеты об уязвимостях, поступающие в GPSRP, Google каталогизирует и включает в систему App Security Improvement (ASI), которая автоматически проверяет другие приложения в Play Store на наличие таких же уязвимостей, что помогает компании извлечь максимальную выгоду из программы GPSRP.
Внедрение новой программы вознаграждения для защиты данных пользователей
В рамках новой программы вознаграждения Developer Data Protection Reward Program (DDPRP) Google будет поощрять специалистов по безопасности, которые найдут «достоверные и недвусмысленные доказательства» злоупотребления пользовательскими данными в сторонних приложениях, имеющих доступ к Google API, в приложениях для Android из Google Play Store, а также в приложениях и расширениях из Chrome Web Store
Суммы выплат в рамках программы DDPRP еще не анонсированы, но Google гарантирует, что один отчет может принести до 50 тыс. долларов награды в зависимости от масштаба найденной проблемы.
Новая программа вознаграждений DDPRP направлена на избежание ситуаций, когда конфиденциальные данные незаконно используются или продаются без согласия пользователя.
«Необходимость нововведений стала очевидной в связи со скандалами, связанными со злоупотреблением данными, и несколькими случаями обнаружения вредоносных приложений в магазине Google Play Store в последнее время», – отметили в компании.