Google
Google utökat sin bug bounty program idag till att omfatta alla Android-app som anges på Play Store som har fler än 100 miljoner användare installerar.
Detta innebär att från och med idag, säkerhet forskare kan rapportera säkerhetsproblem i dessa apps till Google och Android OS tekokare kommer att ge monetära belöningar för giltigt felrapporter.
Alla +100m Android apps är rättvist spel nu
Alla Android-appar som visas på Play Store med över 100 miljoner installationer är godtagbara, och app-utvecklare behöver inte registrera dig eller göra något annat.
Google kommer triage alla felrapporter via sitt Google Play-Säkerhet Reward Program (GPSRP) på HackerOne plattform, och sedan vidarebefordra sårbarheter till app-utvecklare. Om apps misslyckas med att ta itu med fel, kommer Google att ta bort dem från Play Store.
App-utvecklare såsom Facebook, Microsoft, eller Twitter, som har sitt eget bug bounty program är inte undantagna från GPSRP.
Google sade app-utvecklare kan skicka in samma bugg rapporter via GPSRP, och sedan på de företag som privat bug bounty program, och få en belöning för samma fel två gånger.
Google har nyligen ökat app bugg belöningar
Google lanserade GPSRP 2017. I programmets första tre år, bugg jägare kan tjäna upp till $5000 för fjärrkörning av kod fel, eller upp till $1000 för fel som resulterade i en stöld av privata uppgifter eller åtkomst till en app är skyddade komponenter.
Men trots att Google erbjuder att betala för fel i Google apps, programmet aldrig fångats på, som säkerhet forskare tenderade att glida mot Googles andra bug bounty program. Hittills GPSRP har bara betalat säkerhet forskare drygt $265 000 kronor i skottpengar, en bråkdel av de miljontals dollar som Google har betalat genom sina andra bug bounty program.
Förra månaden i ett försök att stimulera deltagande i programmet, Google ökade utbetalningar för de ovan nämnda fel till $20,000 för RCEs, och $3,000 för de andra två.
Dessutom, även om det i början endast en liten delmängd av populära program ingår i GPSRP (manuellt utvalda av Google), med start idag, någon Android app eller ett spel som har passerat 100 miljoner ladda ner märket är automatiskt berättigade, vilket gör företagets Play Store bug bounty program ännu mer attraktiv än tidigare.
Google har varit att återanvända Android app felrapporter
Dessutom, även om det vid första anblicken verkar det som att Google betalar för buggfixar i tredje parts apps ut ur sin ficka, sade företaget att det finns en påtaglig fördel och en metod för att dess galenskap.
Android OS tekokare sa att tidigare sårbarhet rapporter som den har fått under de föregående tre åren genom GPSRP har inte gått till spillo. Alla felrapporter har varit katalogiserade och ingår i ett system som automatiskt söker igenom andra Play Store apps för samma frågor.
Om andra appar som finns att vara utsatta för en bugg som rapporterats via GPSRP, de app-utvecklare få varningar i Google Play-Konsolen för att åtgärda problem eller har sina appar bort från Play Store.
Detta system, som heter Appen Förbättring av Säkerheten (ASI), har bidragit till att Google nytta och maximera arbetet för säkerhet forskare i GPSRP.
“Under sin livstid, ASI har hjälpt fler än 300 000 utvecklare fixa fler än 1 000 000 appar på Google Play,” säger Google.
“I och med 2018 ensam, programmet hjälpt över 30 000 utvecklare fixa över 75 000 appar. Den efterföljande effekten innebär att de 75,000 utsatta apps är inte distribueras till användare tills problemet är åtgärdat.”
På en sida notera, även idag meddelade Google att de skulle öppna en ny bug bounty program där säkerhet forskare kan rapportera fall av Android-appar, tillägg för Chrome, och appar från tredje part med tillgång till Googles API som stal eller missbrukas Google user data. Denna bug bounty programmet är inspirerat av en liknande en kör på Facebook och Instagram.
Säkerhet
Android på Google Play app med 100 miljoner nedladdningar börjar leverera malware
Microsoft: med Hjälp av multi-faktor autentisering block 99,9% av konto hacks
En ny sakernas internet botnet är att infektera Android-baserade set-top-boxar
Synd om SHA-2: Symantec flunkar grundläggande programmering (ZDNet YouTube)
Den bästa DIY home security system av 2019 (CNET)
De största it-säkerhet risker i den finansiella sektorn (TechRepublic)
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter