Google Play Security Rewards-program introducerat av Google
Under åren har Google haft ett antal belöningsbaserade program som motiverar säkerhetsforskare att hjälpa till att hitta buggar i deras produkter. Det har funnits säkerhetsbelöningsprogram för Google Chrome, ChromeOS, Android och ett antal andra produkter och tjänster tillverkade av Google. Men Google har nu tillkännagett det senaste sådana programmet: Google Play Security Rewards Program.
Efter att ett antal skadlig programvara och skadliga appar hittats på väg genom Googles säkerhetssystem, introducerade Google Google Play Protect för att säkerställa att detta minskar. Men skadlig programvara tog sig fortfarande förbi säkerhetsmekanismerna. Google förlitar sig nu på säkerhetsforskare för att hjälpa dem med Google Play Security Rewards-programmet.
Google Play Security Rewards-programmet introduceras i samarbete med HackerOne – en bug-bounty-plattform. Syftet med programmet är att stimulera säkerhetsforskning mot populära Android-appar i Google Play Butik som kommer att hjälpa till att säkerställa att användarna förblir skyddade.
Google noterade att andra liknande bounty-baserade program har varit ganska framgångsrika tidigare. Från och med nu är omfattningen av detta program begränsat till sårbarheter som är baserade på fjärrkontroll (RCE-attacker) på Android 4.4 eller högre. RCE-attacker är de attacker där en skadlig kod kan köra en kod på en enhet utan tillstånd från användaren.
HackerOne förklarar hur det här programmet fungerar:
- Processen börjar med att säkerhetsforskaren (hackern) identifierar en sårbarhet i en app i Google Play Butik.
- Hackaren måste rapportera denna sårbarhet direkt till apputvecklaren via processen för avslöjande av sårbarhet.
- Hackaren samarbetar sedan med apputvecklaren för att hjälpa dem att åtgärda sårbarheten i sin app.
- Efter att ha löst sårbarheten är hackaren nu berättigad att begära en belöning från Google Play Security Rewards-programmet.
- Android Security Team belönar hackaren.
Källa: HackerOne