Програма винагород за безпеку Google Play, представлена ​​компанією Google

Протягом багатьох років у Google було багато програм на основі винагород, які мотивували дослідників безпеки допомагати знаходити помилки в їхніх продуктах. Існують програми винагород за безпеку для Google Chrome, ChromeOS, Android і ряду інших продуктів і послуг Google. Однак тепер Google анонсувала останню таку програму: Google Play Security Rewards Program.

Після того, як було виявлено низку зловмисних програм і шкідливих програм, які проникають через системи безпеки Google, Google представив Google Play Protect, щоб гарантувати, що це зменшиться. Однак зловмисне програмне забезпечення все ще пробивалося повз механізми безпеки. Google тепер покладається на дослідників безпеки, щоб допомогти їм у програмі Google Play Security Rewards Program.

Програма Google Play Security Rewards запроваджується у співпраці з HackerOne – платформою винагород за помилки. Мета програми полягає в тому, щоб стимулювати дослідження безпеки для популярних програм Android у Google Play Store, які допоможуть забезпечити захист користувачів.

Google зазначив, що інші подібні програми, засновані на винагородах, були досить успішними в минулому. Наразі сфера дії цієї програми обмежена вразливими місцями, які базуються на виконанні віддаленого керування (атаки RCE) на Android 4.4 або новішої версії. Атаки RCE – це атаки, під час яких зловмисне програмне забезпечення може запускати код на пристрої без дозволу користувача.

HackerOne пояснює, як працює ця програма:

• Процес починається з виявлення дослідником безпеки (хакером) уразливості в додатку в Google Play Store.
• Хакер повинен повідомити про цю вразливість безпосередньо розробнику програми через процес розкриття вразливості.
• Потім хакер співпрацює з розробником програми, щоб допомогти їм усунути вразливість у їхній програмі.
• Після усунення вразливості хакер тепер має право вимагати винагороду від Google Play Security Rewards Program.
• Команда безпеки Android винагороджує хакера.

Джерело:  HackerOne