Google Play turvapreemiate programmi, mille tutvustas Google

Aastate jooksul on Google'il olnud mitmeid preemiapõhiseid programme, mis motiveerivad turbeuurijaid aitama leida oma toodetest vigu. Google Chrome'i, ChromeOS -i, Androidi ja paljude muude Google'i toodete ja teenuste jaoks on olemas turvapreemiaprogrammid. Google on aga nüüd teatanud uusimast sellisest programmist: Google Play turvapreemiate programmist.

Pärast seda, kui leiti mitu pahavara ja pahatahtlikke rakendusi, mis jõudsid läbi Google'i turvasüsteemide, tutvustas Google Google Play Protecti, et tagada selle vähenemine. Pahavara jõudis siiski turvamehhanismidest mööda. Google loodab nüüd turvateadlastele, kes aitavad neid Google Play turvapreemiate programmiga.

Google Play turvapreemiate programmi tutvustatakse koostöös HackerOne'iga – vigade hüvitamise platvormiga. Programmi eesmärk on ergutada turbeuuringuid Google Play poes populaarsete Androidi rakenduste suunas, mis aitavad tagada kasutajate kaitstuse.

Google märkis, et teised sarnased bounty-põhised programmid on varem olnud üsna edukad. Praeguse seisuga on selle programmi ulatus piiratud haavatavustega, mis põhinevad kaugjuhtimispuldi täitmisel (RCE rünnakud) Android 4.4 või uuemates versioonides. RCE rünnakud on sellised rünnakud, mille puhul pahavara võib käivitada seadmes koodi ilma kasutaja loata.

HackerOne selgitab, kuidas see programm töötab:

• Protsess algab sellega, et turvauurija (häkker) tuvastab Google Play poes olevas rakenduses haavatavuse.
• Häkker peab sellest haavatavusest teavitama otse rakenduse arendajat haavatavuse avalikustamise protsessi kaudu.
• Seejärel teeb häkker koostööd rakenduse arendajaga, et aidata neil oma rakenduse haavatavust parandada.
• Pärast haavatavuse lahendamist on häkker nüüd õigustatud taotlema preemiat Google Play turvapreemiate programmist.
• Androidi turvameeskond premeerib häkkerit.

Allikas:  HackerOne