Google расширяет программу вознаграждения GPSRP и для защиты пользовательских данных вводит новую программу DDPRP

в 6:24, , рубрики: android, Google Chrome, Google Play Store, бонус, выплата, информационная безопасность, поиск, разработка мобильных приложений, Разработка под android, уязвимость

Google официально анонсировала, что теперь за удачный поиск уязвимостей в любых приложениях для Android из Google Play Store, у которых более 100 млн. пользовательских установок, будут выплачиваться награды, а также появилась новая программа Developer Data Protection Reward Program (DDPRP), по которой будут производится выплаты за обнаружение злоупотребления пользовательскими данными.

Google ввела в свои программы вознаграждений два основных изменения: увеличение объема программы вознаграждений за безопасность и найденные уязвимости в Google Play и запустила новую программу вознаграждений для защиты данных пользователей.

Увеличение объема программы вознаграждения за безопасность и поиск уязвимостей в Google Play

Сфера действия программы Google Play Security Rewards Program (GPSRP) расширена и теперь включает все приложения для Android из официального магазина Google Play с более 100 млн. зафиксированных установок. При этом разработчикам таких приложений не придется специально или дополнительно их регистрироваться или предпринимать какие-то иные шаги в Google.

Сообщения о найденных уязвимостях в таких приложениях будут приниматься через Google Play Security Reward (GPSRP) на платформе HackerOne, а затем отчеты будут передаваться разработчикам приложений. Причем, если уязвимость подтвердится и разработчики не сумеют устранить выявленные ошибки к определенному времени, то Google может исключить такое приложение из Play Store.

Особенность нововведения Google в том, что крупные разработчики в том числе мобильных приложений, как Facebook, Microsoft или Twitter, которые имеют собственные программы вознаграждения, не исключаются из программы GPSRP.

В Google заявили, что специалисты по безопасности смогут сообщать о найденных уязвимостях дважды: через программу GPSRP и напрямую через программы вознаграждений самих компаний-производителей приложений, таким образом, давая шанс ИБ-исследователю дважды получать вознаграждение за свой труд.

Порог загрузок на участие в расширенной программе GPSRP преодолели многие популярные мобильные приложения, например, WhatsApp, Facebook Messenger, Facebook, Viber, Instagram, Twitter и многие другие приложения, разработчики которых теперь могут получать новые сообщения через консоль Play Store о найденных уязвимостях.

«За время своего существования с 2017 года программа GPSRP дала возможность более 300 тыс. разработчиков исправить более одного миллиона приложений в Google Play. На сегодняшний день GPSRP выплатил вознаграждений на сумму более 265 тыс. долларов», – отметили в Google.

Вознаграждения будут выплачиваться согласно действующим ставкам программы GPSRP.

По условиям программы GPSRP:

  • за обнаружение уязвимости, позволяющей удаленно исполнить код, награда $20 тыс.;
  • за обнаружение уязвимости, используя которую можно украсть данные, награда $3 тыс.;
  • за обнаружение уязвимости, используя которую можно получить доступ к защищенным компонентам приложений, награда $3 тыс.;
  • возможность атаки незащищенных соединений по схеме «человек посередине», незащищенная обработка ссылок или перенаправление URL, приводящее к фишингу, награда $500.

В первые годы существования программы GPSRP награды были ниже, например, за уязвимость с возможностью исполнения удаленного кода выплачивали всего $5 тыс. Google подняла планку выплат в июле 2019 года, чтобы привлечь в программу больше специалистов по безопасности.

Отчеты об уязвимостях, поступающие в GPSRP, Google каталогизирует и включает в систему App Security Improvement (ASI), которая автоматически проверяет другие приложения в Play Store на наличие таких же уязвимостей, что помогает компании извлечь максимальную выгоду из программы GPSRP.

Внедрение новой программы вознаграждения для защиты данных пользователей

В рамках новой программы вознаграждения Developer Data Protection Reward Program (DDPRP) Google будет поощрять специалистов по безопасности, которые найдут «достоверные и недвусмысленные доказательства» злоупотребления пользовательскими данными в сторонних приложениях, имеющих доступ к Google API, в приложениях для Android из Google Play Store, а также в приложениях и расширениях из Chrome Web Store

Суммы выплат в рамках программы DDPRP еще не анонсированы, но Google гарантирует, что один отчет может принести до 50 тыс. долларов награды в зависимости от масштаба найденной проблемы.

Новая программа вознаграждений DDPRP направлена на избежание ситуаций, когда конфиденциальные данные незаконно используются или продаются без согласия пользователя.

«Необходимость нововведений стала очевидной в связи со скандалами, связанными со злоупотреблением данными, и несколькими случаями обнаружения вредоносных приложений в магазине Google Play Store в последнее время», – отметили в компании.

Автор: denis-19

Источник

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js