Google
Google udvidet sin bug bounty program i dag at omfatte enhver Android app, der er opført på Play Butik, der har mere end 100 millioner bruger installerer.
Det betyder, at fra i dag, sikkerhed forskere kan rapporterer sårbarheder i disse apps til Google, og Android OS kaffefaciliteter vil give monetære belønninger for gyldig fejlrapporter.
Alle +100m Android apps er fair spil nu
Alle Android-apps, der er opført på Play Store, med over 100 millioner installationer er berettiget, og app-udviklere behøver ikke at tilmelde dig eller gør noget andet.
Google vil triage alle fejlrapporter, via sin Google Play, Sikkerhed Reward Program (GPSRP) på HackerOne platform, og derefter videresende de sårbarheder, at app-udviklere. Hvis apps lade være med at rette de fejl, Google vil fjerne dem fra Play Butik.
App udviklere, såsom Facebook, Microsoft, eller Twitter, som har deres egen bug bounty-programmer er ikke udelukket fra GPSRP.
Google sagde, at app-udviklere kunne sende den samme fejl rapporter via GPSRP, og derefter på de virksomheder, private bug bounty-programmer, og modtage en belønning for den samme fejl to gange.
Google har for nylig øget app fejl belønninger
Google lancerede GPSRP i 2017. I programmets tre første år, bug jægere kunne tjene op til $5.000 for fjernkørsel af programkode fejl, eller op til $1.000 for fejl, der resulterede i, at tyveri af private data eller få adgang til en app, som er beskyttet komponenter.
Men på trods af, at Google tilbyder at betale for fejl i ikke-Google-apps, programmet har aldrig fanget på, som sikkerhed forskere tendens til at glide i retning af Google ‘ s andre bug bounty-programmer. Til dato, GPSRP har kun betalt sikkerhed forskere lidt over $265,000 i dusører, er en brøkdel af de millioner af dollars Google har betalt gennem sin anden bug bounty-programmer.
Sidste måned, i et forsøg på at øge deltagelsen i programmet, Google øgede udbetalinger til ovennævnte bugs til $20.000 for RCEs, og $3.000 for de to andre.
Desuden, mens i første omgang kun en lille delmængde af populære apps, der var inkluderet i GPSRP (manuelt udvalgt af Google), starter i dag, en Android app eller et spil, der har passeret 100 millioner download-mærket er automatisk støtteberettigede, der gør virksomhedens Play Butik bug bounty program endnu mere attraktiv end før.
Google har været datidens Android app fejlrapporter
Hertil kommer, at selvom der ved første øjekast ser ud til, at Google betaler for fejlrettelser i tredjeparts-apps ud af sin lomme, selskabet sagde, at der er en håndgribelig fordel og en metode til sin galskab.
Android OS kaffefaciliteter sagde, at de tidligere sårbarhed rapporter, den har modtaget i de tre foregående år gennem GPSRP har ikke gået til spilde. Alle fejlrapporter er blevet katalogiseret og indgår i et system, der automatisk scanner andre Play Butik apps til de samme spørgsmål.
Hvis andre apps er fundet at være udsatte, at en fejl, der er indberettet via GPSRP, de app-udviklere og modtage besked i deres Google Play-Konsollen til at løse de problemer, eller have fjernet deres apps fra Play Butik.
Dette system, som hedder App ‘ en til Forbedring af Sikkerheden (ASI), har bidraget til Google fordel og maksimere arbejdet sikkerheds-forskere i GPSRP.
“I løbet af sin levetid, ASI har hjulpet mere end 300.000 udviklere lave mere end 1.000.000 apps på Google Play, Google sagde.
“I 2018 alene, det program har hjulpet over 30.000 udviklere lave over 75.000 apps. Downstream-effekt betyder, at de 75,000 sårbare apps er ikke distribueres til brugerne, indtil problemet er løst.”
På en side bemærkning, også i dag, Google annoncerede, at det var åbningen af en ny bug bounty program, hvor sikkerhed forskere kunne rapportere tilfælde af Android apps, Chrome udvidelser, og tredjeparts-apps med adgang til Google-API, der har stjålet eller misbrugt Google-bruger data. Denne bug bounty program er inspireret af et lignende en, der kører på Facebook og Instagram.
Sikkerhed
Android Google Play app med 100 millioner downloads begynder at levere malware
Microsoft: Brug af multi-faktor-autentificering blokke 99,9% af konto hacks
En ny tingenes internet botnet er at inficere Android-baseret set top-bokse
Skam over SHA-2: Symantec dumper grundlæggende programmering (ZDNet YouTube)
Den bedste DIY sikkerhed i hjemmet systemer i 2019 (CNET)
Den største cybersecurity risici i den finansielle sektor (TechRepublic)
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre