Google aggiunge tutte le applicazioni Android con +100m installa per i suoi bug bounty program

0
101
page.png

Google

Google ampliato i suoi bug bounty program oggi per includere qualsiasi applicazione per Android elencati sul Play Store che ha più di 100 milioni utente installa.

Questo significa che a partire da oggi, i ricercatori di sicurezza possono segnalare alcune vulnerabilità in queste applicazioni di Google, l’Android OS maker fornire ricompense monetarie per valide le segnalazioni di bug.

Tutti +100m applicazioni Android sono fiera di gioco ora

Tutte le applicazioni Android elencati sul Play Store, con oltre 100 milioni di installazioni, sono ammissibili, e gli sviluppatori di app non iscriversi o fare qualsiasi altra cosa.

Google triage tutte le segnalazioni di bug, tramite il suo Google Play Sicurezza Programma di Ricompensa (GPSRP) sul HackerOne piattaforma, e quindi inoltrare la vulnerabilità per gli sviluppatori di app. Se le applicazioni non riuscire a risolvere il bug, Google li rimuove dal Play Store.

Gli sviluppatori di App come Facebook, Microsoft, o Twitter, che hanno il loro privato bug bounty programmi non sono esclusi dal GPSRP.

Google ha detto gli sviluppatori di app potrebbe presentare lo stesso bug report tramite l’GPSRP, e poi su quelle aziende private bug bounty programmi, e ricevere una ricompensa per lo stesso errore due volte.

Google ha recentemente aumentato la app bug premi

Google ha lanciato la GPSRP nel 2017. In programma per i primi tre anni, cacciatori di bug potrebbe guadagnare fino a $5.000 per l’esecuzione di codice remoto bug, o fino a $1.000 per i bug che ha portato al furto di dati privati, o l’accesso a un’applicazione protetta componenti.

Ma nonostante Google offre di pagare per i bug non di Google apps, il programma non hanno mai preso piede, come i ricercatori di sicurezza tendono ad andare alla deriva verso Google altri bug bounty programmi. Ad oggi, il GPSRP ha pagato solo i ricercatori di sicurezza di poco più di $265,000 in taglie, una frazione di milioni di dollari Google ha pagato attraverso gli altri bug bounty programmi.

Il mese scorso, nel tentativo di aumentare la partecipazione al programma, Google maggiori pagamenti per il suddetto bug a $20.000 per RCEs, e $3.000 per le altre due.

Inoltre, mentre, inizialmente, solo un piccolo sottoinsieme di applicazioni popolari è stato incluso nella GPSRP (selezionato manualmente da Google), a partire da oggi, qualsiasi Android app o un gioco che ha superato i 100 milioni di download è automaticamente ammissibili, rendendo l’azienda Play Store di bug bounty program ancora più attraente di prima.

Google è stata riproposta Android app segnalazioni di bug

Inoltre, anche se a prima vista sembra che Google sta pagando per i bug in app di terze parti dalla sua tasca, la società ha detto che c’è un vantaggio tangibile e un metodo per la sua follia.

Il sistema operativo Android maker ha detto che in passato vulnerabilità report ha ricevuto nei precedenti tre anni, attraverso la GPSRP non è andato sprecato. Tutte le segnalazioni di bug sono stati catalogati e inseriti in un sistema che automaticamente la scansione di altri Play Store apps per gli stessi problemi.

Se altre applicazioni sono trovato a essere vulnerabile ad un bug segnalati tramite il GPSRP, quelli che gli sviluppatori di app ricevere avvisi nel Google Play Console per risolvere i problemi o le loro app rimossa dal Play Store.

Questo sistema, denominato App Miglioramento di Sicurezza (ASI), ha aiutato Google beneficio e massimizzare il lavoro di ricercatori di sicurezza in GPSRP.

“Per tutta la sua durata, l’ASI ha aiutato più di 300.000 agli sviluppatori di risolvere più di 1.000.000 di app su Google Play,” Google ha detto.

“Nel 2018, da solo, il programma ha contribuito a oltre 30.000 sviluppatori a correggere oltre 75.000 applicazioni. A valle effetto significa che quelli di 75.000 vulnerabili le app non vengono distribuiti agli utenti fino a quando il problema è risolto.”

Su un lato nota, anche oggi, Google ha annunciato l’avvio di un nuovo bug bounty program, dove i ricercatori di sicurezza potrebbe denunciare i casi di applicazioni Android, Chrome, estensioni e applicazioni di terze parti con l’accesso alle API di Google che ha rubato o utilizzati in modo improprio Google i dati utente. Questo bug bounty è un programma ispirato da una simile esecuzione a Facebook e Instagram.

Sicurezza

Android app Google Play con 100 milioni di download inizia a distribuire malware

Microsoft: Utilizza autenticazione multi-fattore blocca il 99,9% degli account hack

Un nuovo IOT botnet sta infettando Android-based set-top box

Peccato per SHA-2: Symantec tale programmazione di base (ZDNet YouTube)

Il migliore fai da te sistemi di sicurezza domestica del 2019 (CNET)

Il più grande cybersecurity rischi nel settore dei servizi finanziari (TechRepublic)

Argomenti Correlati:

Google

Di sicurezza, TV

La Gestione Dei Dati

CXO

Centri Dati