Программа Google Play Security Rewards, представленная Google
На протяжении многих лет у Google было несколько программ вознаграждений, которые мотивируют исследователей безопасности помогать находить ошибки в их продуктах. Существуют программы вознаграждения за безопасность для Google Chrome, ChromeOS, Android и ряда других продуктов и услуг, созданных Google. Однако теперь Google объявила о последней такой программе: программе Google Play Security Rewards Program.
После того, как было обнаружено несколько вредоносных программ и вредоносных приложений, проникающих через системы безопасности Google, Google представила Google Play Protect, чтобы уменьшить их количество. Однако вредоносное ПО все еще пробивалось сквозь механизмы безопасности. Google теперь полагается на исследователей в области безопасности, которые помогут им с программой Google Play Security Rewards Program.
Программа Google Play Security Rewards внедряется в сотрудничестве с HackerOne — платформой для поиска ошибок. Цель программы — стимулировать исследования в области безопасности популярных приложений для Android в магазине Google Play, что поможет обеспечить защиту пользователей.
Google отметил, что другие подобные программы, основанные на вознаграждениях, были весьма успешными в прошлом. На данный момент область действия этой программы ограничена уязвимостями, основанными на удаленном управлении (атаки RCE) на Android 4.4 или выше. RCE-атаки — это атаки, при которых вредоносное ПО может запускать код на устройстве без разрешения пользователя.
HackerOne объясняет, как работает эта программа:
- Процесс начинается с того, что исследователь безопасности (хакер) определяет уязвимость в приложении в магазине Google Play.
- Хакер должен сообщить об этой уязвимости непосредственно разработчику приложения через процесс раскрытия уязвимости.
- Затем хакер сотрудничает с разработчиком приложения, чтобы помочь им исправить уязвимость в своем приложении.
- После устранения уязвимости хакер теперь может запросить вознаграждение в рамках программы Google Play Security Rewards Program.
- Команда безопасности Android награждает хакера.
Источник: ХакерУан