Διαφήμιση
Εάν είστε προγραμματιστής εφαρμογών Android με μύτη για κυνήγι ζητημάτων ασφαλείας, θα μπορούσατε να πληρώσετε για το δανεισμό των δεξιοτήτων σας στην Google. Οι χάκερ κατάφεραν να εγκαταστήσουν εφαρμογές που έχουν μολυνθεί από κακόβουλο λογισμικό στο Google Play Store, μερικές από τις οποίες έλαβαν εκατομμύρια λήψεις.
Σε απάντηση, η Google άνοιξε το πρόγραμμα bug bounty που επιτρέπει στους προγραμματιστές να σκάψουν για ζητήματα ασφαλείας σε κοινές εφαρμογές. Προηγουμένως καλύφθηκαν μόνο μερικές εφαρμογές. Τώρα, όλες οι δημοφιλείς εφαρμογές Play Store αποτελούν μέρος του προγράμματος. Το πρόγραμμα πληρώνει χρηματικές ανταμοιβές για προγραμματιστές που βρίσκουν και αναφέρουν ζητήματα ασφαλείας.
Γιατί η Google έχει ένα πρόγραμμα Bug Bounty
Η Google διαθέτει ένα πρόγραμμα bug bounty για τις δικές της εφαρμογές για μεγάλο χρονικό διάστημα. Όπως πολλές εταιρείες, η Google προσφέρει ανταμοιβές σε προγραμματιστές που αποκαλύπτουν προβλήματα στους ιστότοπούς της Η Google θα σας πληρώσει 100 $ + εάν τους βοηθήσετε Η Google έχει πληρώσει εκατοντάδες χιλιάδες δολάρια σε κανονικούς χρήστες για να κάνει ένα απλό πράγμα. Διαβάστε περισσότερα . Προσφέρει επίσης ανταμοιβές για την εύρεση σφαλμάτων του προγράμματος περιήγησης Chrome ή του λειτουργικού συστήματος Chrome. Αλλά πρόσφατα έκανε το πιο ριζοσπαστικό βήμα της προσφοράς ανταμοιβών για σφάλματα που εντοπίστηκαν και σε εφαρμογές άλλων εταιρειών.
Η πρώτη επανάληψη του προγράμματος bug bounty του Play Store εφαρμόστηκε μόνο σε έναν πολύ μικρό αριθμό κορυφαίων εφαρμογών. Τώρα, η Google έχει επεκτείνει το πρόγραμμα για να καλύψει οποιαδήποτε εφαρμογή στο Play Store με περισσότερες από 100 εκατομμύρια εγκαταστάσεις. Αυτό σημαίνει ότι υπάρχουν πολλές περισσότερες ευκαιρίες για τους κυνηγούς σφαλμάτων να ανακαλύψουν προβλήματα στις εφαρμογές του Play Store και λάβετε ανταμοιβή για την αναφορά τους, ακόμα κι αν οι προγραμματιστές εφαρμογών δεν προσφέρουν το δικό τους bug bounty προγράμματα.
Η Google αναφέρει ότι εισήγαγε αυτό το πρόγραμμα με την ελπίδα να "ενθαρρύνει την κοινότητα να μας βοηθήσει να βελτιώσουμε την ασφάλεια για όλους". Επομένως, ενθαρρύνει τους κυνηγούς σφαλμάτων που ανακαλύπτουν ένα σφάλμα να το αναφέρουν στους προγραμματιστές εφαρμογών καθώς και στην Google. Αυτό δίνει στους αρχικούς προγραμματιστές την ευκαιρία να διορθώσουν το σφάλμα γρήγορα. Και αυτό σημαίνει καλύτερη ασφάλεια για όσους χρησιμοποιούν εφαρμογές Android.
Πώς να συμμετέχετε στο πρόγραμμα Bug Bounty
Το πρόγραμμα bug bounty του Play Store ονομάζεται Πρόγραμμα ανταμοιβής ασφαλείας του Google Play (GPSRP). Η Google καλεί ερευνητές ασφαλείας και προγραμματιστές εφαρμογών να συμμετάσχουν. Το πρώτο βήμα είναι να συμπληρώσετε ένα εφαρμογή για να εγγραφείτε στο πρόγραμμα. Μπορείτε να αναζητήσετε ζητήματα ασφαλείας σε οποιαδήποτε κατάλληλη εφαρμογή στο Play Store μόλις εγκριθείτε.
Υπάρχουν τρεις τύποι ευπάθειας που αναζητούν οι συμμετέχοντες. Πρώτον, οι ευπάθειες απομακρυσμένης εκτέλεσης κώδικα είναι αυτές που επιτρέπουν σε έναν εισβολέα να έχει πρόσβαση στη συσκευή ενός χρήστη και να κάνει αλλαγές. Αυτά είναι πολύ σοβαρά ζητήματα ασφάλειας.
Δεύτερον, υπάρχει το ζήτημα της κλοπής ανασφαλών ιδιωτικών δεδομένων. Αυτό είναι όπου μια ευπάθεια επιτρέπει σε έναν χάκερ να κλέψει προσωπικά στοιχεία, όπως στοιχεία σύνδεσης, ιστορικό ιστού ή λίστες επαφών.
Τρίτον, υπάρχει πρόσβαση σε προστατευμένα στοιχεία εφαρμογών. Αυτό αναφέρεται σε εφαρμογές που εκτελούν λειτουργίες για τις οποίες δεν έχουν άδεια. Για παράδειγμα, μια εφαρμογή που στέλνει μηνύματα SMS, ακόμη και αν δεν έχει άδεια από το χρήστη να το κάνει.
Το πρόγραμμα δεν καλύπτει ορισμένα θέματα ασφαλείας. Για παράδειγμα, οι επιθέσεις ηλεκτρονικού ψαρέματος, ενώ είναι δυνητικά επικίνδυνες, δεν πληρούν τις προϋποθέσεις. Αυτό συμβαίνει επειδή λειτουργούν εξαπατώντας τον χρήστη και όχι εκτελώντας κακόβουλο κώδικα. Το πρόγραμμα επίσης δεν καλύπτει επιθέσεις που απαιτούν φυσική πρόσβαση σε μια συσκευή.
Μόλις εντοπίσετε ένα σφάλμα, θα πρέπει να επικοινωνήσετε με τον προγραμματιστή της εφαρμογής για να τον ενημερώσετε. Στη συνέχεια, μπορείτε να συνεργαστείτε με τον προγραμματιστή για να επιλύσετε το πρόβλημα. Μόλις επιλυθεί το θέμα ευπάθειας, μπορείτε να διεκδικήσετε την ανταμοιβή σας από την Google.
Κερδίστε χρήματα για τον εντοπισμό καταχρήσεων δεδομένων από εφαρμογές
Η Google δεν προσφέρει μόνο ανταμοιβές για την εύρεση σφαλμάτων ασφαλείας. Προσπαθεί να καταργήσει εφαρμογές που κλέβουν επίσης δεδομένα χρηστών. Πρόσφατα, η εταιρεία ξεκίνησε το Πρόγραμμα ανταμοιβής προστασίας δεδομένων προγραμματιστή (DDPRP) που προσφέρει παρόμοιες ανταμοιβές για προγραμματιστές που αποκαλύπτουν κατάχρηση δεδομένων από εφαρμογές.
Οι τύποι κατάχρησης δεδομένων που αναζητά το πρόγραμμα είναι εφαρμογές που συλλέγουν και πωλούν δεδομένα χρηστών κατά τρόπο που αντιβαίνει στις πολιτικές απορρήτου της Google. Για παράδειγμα, αυτό θα μπορούσε να είναι μια εφαρμογή που συλλέγει δεδομένα από βιβλία επαφών χρηστών, όπως μεταδεδομένα που δείχνουν ποιοι κάλεσαν και πότε, χωρίς να το προστατεύουν ως ευαίσθητα δεδομένα.
Θα καλύπτει επίσης εφαρμογές που παραβιάζουν κανόνες σχετικά με τα δικαιώματα, όπως μια εφαρμογή που έχει πρόσβαση σε δικαιώματα SMS, αλλά το χρησιμοποιεί για να συλλέξει δεδομένα σχετικά με τα μηνύματα SMS των χρηστών για πώληση στο τρίτο πάρτι. Εναλλακτικά, θα καλύπτει μια εφαρμογή που ζητά άδεια πρόσβασης στα δεδομένα επαφής και στη συνέχεια επαναχρησιμοποιεί αυτά τα δεδομένα για μια μη σχετική εφαρμογή.
Για να δείτε περισσότερες λεπτομέρειες σχετικά με το τι είδους κατάχρηση δεδομένων πληρούν τις προϋποθέσεις για το πρόγραμμα, μπορείτε να δείτε στο Ιστοσελίδα DDPRP. Όπως και με το πρόγραμμα bug bounty, οποιαδήποτε εφαρμογή στο Play Store με περισσότερες από 100 εκατομμύρια εγκαταστάσεις είναι κατάλληλη.
Οι ανταμοιβές στην προσφορά για την ανακάλυψη σφαλμάτων
Προσφέρονται ανταμοιβές μετρητών τόσο για το bug bounty όσο και για τα προγράμματα κατάχρησης δεδομένων. Το ποσό που καταβάλλεται για οποιαδήποτε αναφορά εξαρτάται από τη σοβαρότητα του ζητήματος. Εξαρτάται επίσης από την ποιότητα της αναφοράς που υποβάλλεται στην Google.
Οι ανταμοιβές για το Πρόγραμμα ανταμοιβής ασφαλείας του Google Play κυμαίνονται από 5.000 έως 20.000 $ για σφάλματα απομακρυσμένης εκτέλεσης κώδικα, από 1.000 έως 3.000 $ για κλοπή μη ασφαλών ιδιωτικών δεδομένων και από 1.000 έως 3.000 $ για πρόσβαση σε προστατευμένη εφαρμογή συστατικά. Επιπλέον, υπάρχουν μπόνους για την αποκάλυψη των ευπαθειών στους προγραμματιστές εφαρμογών με υπεύθυνο τρόπο. Αυτό δίνει στους προγραμματιστές την ευκαιρία να διορθώσουν το ζήτημα.
Οι ανταμοιβές για το Πρόγραμμα Ανταμοιβής Προστασίας Δεδομένων Προγραμματιστή κυμαίνονται από 100 $ έως 1000 $. Για να διεκδικήσετε την ανταμοιβή, θα πρέπει να υποβάλετε μια αναφορά. Πρέπει να γράψετε πληροφορίες σχετικά με την πολιτική παραβίασης των δεδομένων, τον τρόπο κατάχρησης των δεδομένων και μια λίστα με τις περιπτώσεις κατά τις οποίες η εφαρμογή παραβίασε τις πολιτικές.
Κερδίστε μετρητά με ευπάθειες ασφαλείας κυνηγιού
Τα προγράμματα bounty της Google και bounty κατάχρησης δεδομένων σάς δίνουν την ευκαιρία να κερδίσετε χρήματα. Σας επιτρέπουν επίσης να βελτιώσετε την ασφάλεια των εφαρμογών που διανέμονται μέσω του Play Store. Αν σας ενδιαφέρει περισσότερες ευκαιρίες για κυνήγι σφαλμάτων, μπορείτε επίσης να δείτε τα προγράμματα άλλων εταιρειών. Για μερικά παραδείγματα, ανατρέξτε στη λίστα μας φοβερά προγράμματα bug bounty για να κερδίσετε χρήματα τσέπης 25 φοβερά προγράμματα "Bug Bounty" για την απόκτηση χρημάτων τσέπηςΕάν διαθέτετε εξειδίκευση στα πρωτόκολλα ασφαλείας, θα μπορούσατε να κερδίσετε επιπλέον χρήματα για αναζήτηση σφαλμάτων σε δημοφιλείς εφαρμογές και ιστότοπους και να ανταμειφθείτε με ένα bounty bug. Εδώ είναι τα προγράμματα με τις καλύτερες πληρωμές το 2016. Διαβάστε περισσότερα .
Η Γεωργίνα είναι συγγραφέας επιστήμης και τεχνολογίας που ζει στο Βερολίνο και έχει διδακτορικό στην ψυχολογία. Όταν δεν γράφει, συνήθως βρίσκεται να παίζει με τον υπολογιστή της ή να οδηγεί το ποδήλατό της και μπορείτε να δείτε περισσότερα από τα γραπτά της στο georginatorbet.com.