Programma Google Play Security Rewards introdotto da Google
Nel corso degli anni Google ha avuto una serie di programmi basati su premi che motivano i ricercatori di sicurezza ad aiutare a trovare bug nei loro prodotti. Ci sono stati programmi di premi di sicurezza per Google Chrome, ChromeOS, Android e una serie di altri prodotti e servizi realizzati da Google. Tuttavia, Google ha ora annunciato l'ultimo programma di questo tipo: il programma Google Play Security Rewards.
Dopo che una serie di malware e app dannose sono state rilevate attraverso i sistemi di sicurezza di Google, Google ha introdotto Google Play Protect per garantire che ciò venga ridotto. Tuttavia, il malware si stava ancora facendo strada oltre i meccanismi di sicurezza. Google ora si affida a ricercatori di sicurezza per aiutarli con il programma Google Play Security Rewards.
Il programma Google Play Security Rewards è stato introdotto in collaborazione con HackerOne, una piattaforma di ricompense di bug. L'obiettivo del programma è incentivare la ricerca sulla sicurezza verso le popolari app Android sul Google Play Store che contribuiranno a garantire che gli utenti rimangano protetti.
Google ha notato che altri programmi simili basati su taglie hanno avuto un discreto successo in passato. A partire da ora, l'ambito di questo programma è limitato alle vulnerabilità basate sull'esecuzione di controllo remoto (attacchi RCE) su Android 4.4 o versioni successive. Gli attacchi RCE sono quegli attacchi in cui un malware può eseguire un codice su un dispositivo senza il permesso dell'utente.
HackerOne spiega come funziona questo programma:
- Il processo inizia con il ricercatore di sicurezza (hacker) che identifica una vulnerabilità in un'app sul Google Play Store.
- L'hacker deve segnalare questa vulnerabilità direttamente allo sviluppatore dell'app tramite il processo di divulgazione della vulnerabilità.
- L'hacker collabora quindi con lo sviluppatore dell'app per aiutarlo a correggere la vulnerabilità nella sua app.
- A seguito della risoluzione della vulnerabilità, l'hacker è ora idoneo a richiedere un premio dal programma Google Play Security Rewards.
- L'Android Security Team premia l'hacker.
Fonte: HackerOne