Program nagród za bezpieczeństwo w Google Play wprowadzony przez Google

Przez lata firma Google prowadziła szereg programów opartych na nagrodach, które motywują badaczy bezpieczeństwa do pomocy w znajdowaniu błędów w swoich produktach. Pojawiły się programy nagród za bezpieczeństwo dla Google Chrome, ChromeOS, Androida i wielu innych produktów i usług Google. Jednak Google ogłosił teraz najnowszy taki program: program nagród Google Play Security.

Po znalezieniu wielu złośliwych i złośliwych aplikacji przebijających się przez systemy zabezpieczeń Google, Google wprowadził Google Play Protect, aby zmniejszyć ten problem. Jednak złośliwe oprogramowanie wciąż przebijało się przez mechanizmy bezpieczeństwa. Google polega teraz na badaczach bezpieczeństwa, którzy pomogą im w programie nagród za bezpieczeństwo w Google Play.

Program nagród Google Play Security jest wprowadzany we współpracy z HackerOne – platformą bug bounty. Celem programu jest zachęcenie do badania bezpieczeństwa popularnych aplikacji na Androida w sklepie Google Play, które pomogą zapewnić ochronę użytkowników.

Google zauważył, że inne podobne programy oparte na nagrodach były w przeszłości całkiem udane. Na chwilę obecną zakres tego programu jest ograniczony do luk opartych na wykonywaniu zdalnego sterowania (ataki RCE) w systemie Android 4.4 lub nowszym. Ataki RCE to ataki, w których złośliwe oprogramowanie może uruchomić kod na urządzeniu bez zgody użytkownika.

HackerOne wyjaśnia, jak działa ten program:

• Proces rozpoczyna się od wykrycia przez badacza bezpieczeństwa (hakera) luki w aplikacji w sklepie Google Play.
• Haker musi zgłosić tę lukę bezpośrednio do twórcy aplikacji za pośrednictwem procesu ujawniania luki.
• Haker współpracuje następnie z twórcą aplikacji, aby pomóc im naprawić lukę w ich aplikacji.
• Po usunięciu luki haker może teraz poprosić o nagrodę w programie nagród Google Play Security.
• Zespół ds. bezpieczeństwa systemu Android nagradza hakera.

Źródło:  HackerOne