Google
Google breidt haar bug bounty ‘ programma van vandaag voor het opnemen van een Android app vermeld op de Play Store heeft meer dan 100 miljoen gebruikers installeert.
Dit betekent dat vanaf vandaag, veiligheid onderzoekers kunnen melden van kwetsbaarheden in deze apps aan Google en de Android OS maker biedt monetaire beloningen voor de geldigheid van bug reports.
Alle +100m Android-apps zijn fair game nu
Alle Android apps vermeld op de Play Store met meer dan 100 miljoen installeert in aanmerking komen, en app-ontwikkelaars hoeven niet te melden of iets anders te doen.
Google zal triage alle bug-rapporten via de Google Play Beveiliging beloningsprogramma (GPSRP) op de HackerOne platform, en vervolgens relais de kwetsbaarheden aan app-ontwikkelaars. Als apps falen in het aanpakken van de bugs, zal Google ze te verwijderen uit de Play Store.
App-ontwikkelaars zoals Facebook, Microsoft en Twitter, die hun eigen bug bounty ‘programma’ s niet worden uitgesloten van de GPSRP.
Google zei dat de app-ontwikkelaars kunnen dienen dezelfde bug-rapporten via de GPSRP, en dan op die bedrijven een eigen bug bounty ‘programma’ s, en ontvangen van een beloning voor dezelfde fout twee keer.
Google heeft onlangs verhoogd app bug beloningen
Google lanceerde de GPSRP in 2017. In het programma van de eerste drie jaar, bug jagers konden verdienen tot $5.000 tot uitvoering van externe code bugs, of tot $1.000 voor de fouten die resulteerde in de diefstal van persoonlijke gegevens, of toegang tot een app beschermde onderdelen.
Maar ondanks dat Google het aanbieden om te betalen voor fouten in niet van Google apps, het programma nooit betrapt op, zoals security-onderzoekers de neiging te drijven in de richting van de andere Google-bug bounty ‘programma’ s. Tot op heden is het GPSRP heeft alleen betaald security onderzoekers iets meer dan $265,000 in premiejager, een fractie van de miljoenen dollars die Google betaald heeft door middel van haar bug bounty ‘programma’ s.
Vorige maand, in een poging om de deelname in het programma, Google steeg de uitbetalingen voor de genoemde bugs en $20.000 voor RCEs, en $3.000 voor de andere twee.
Bovendien, terwijl aanvankelijk slechts een kleine subset van populaire apps is opgenomen in de GPSRP (handmatig geselecteerd door Google), met ingang van vandaag, een Android app of game die is doorgegeven aan de 100 miljoen downloads is automatisch in aanmerking, waardoor het bedrijf de Play Store bug bounty ‘ programma nog aantrekkelijker dan voorheen.
Google is het hergebruik van Android-app bug reports
Bovendien, zelfs als op het eerste gezicht lijkt dat Google gaat betalen voor bug fixes in apps van derden uit zijn zak, het bedrijf zei dat er een tastbaar voordeel en een methode om de waanzin.
De Android OS maker zei dat in het verleden kwetsbaarheid rapporten die het heeft ontvangen in de afgelopen drie jaar door de GPSRP nog niet gegaan te verspillen. Alle bug-rapporten zijn gecatalogiseerd en opgenomen in een systeem dat automatisch scant andere Play Store apps voor dezelfde problemen.
Als andere apps te vinden zijn kwetsbaar voor een bug gemeld via de GPSRP, die app-ontwikkelaars alerts ontvangen in hun Google Play Console om de problemen te repareren of hun apps verwijderd uit de Play Store.
Dit systeem, met de naam van de App Verbetering van de Beveiliging (ASI), heeft bijgedragen aan het Google-uitkering en het maximaliseren van het werk van de onderzoekers van de veiligheid in de GPSRP.
“De duur, de ASI heeft bijgedragen aan meer dan 300.000 ontwikkelaars vast meer dan 1.000.000 apps op Google Play, Google gezegd.
“In 2018 alleen, het programma geholpen om meer dan 30.000 ontwikkelaars fix meer dan 75.000 apps. De downstream-effect betekent dat die 75,000 kwetsbare apps zijn niet geschikt voor gebruikers tot het probleem is opgelost.”
Op een zijde nota, ook vandaag nog, Google heeft aangekondigd was het openen van een nieuwe bug bounty ‘ programma waar beveiligingsonderzoekers kunnen rapporteren gevallen van Android apps, Chrome extensies en apps van derden met toegang tot de Google API die gestolen of misbruikt Google-gebruiker-gegevens. Deze bug bounty ‘ programma is geïnspireerd door een soortgelijk actief op Facebook en Instagram.
Veiligheid
Android Google Play-app met 100 miljoen downloads begint te leveren malware
Microsoft: het Gebruik van multi-factor authenticatie blokken 99,9% van de account hacks
Een nieuwe IOT botnet is het infecteren van Android-gebaseerde set-top boxes
Schande over SHA-2: Symantec flunks basic programmeren (ZDNet YouTube)
De beste DIY home security systems 2019 (CNET)
De grootste cybersecurity risico ‘ s in de financiële sector (TechRepublic)
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters