Google будет выплачивать премии за выявление уязвимостей в популярных Android-приложениях
О расширении программы выплаты вознаграждений за поиск уязвимостей в приложениях из каталога Google Play объявила компания Google. Если раньше программа охватывала только наиболее значительные специально отобранные приложения Google и партнёров, то отныне премии начнут выплачивать за обнаружение проблем с безопасностью в любых приложениях для платформы Android, которые были загружены из каталога Google Play более 100 млн раз. Размер премии за выявления уязвимости, которая может привести к удалённому выполнению кода, увеличена с 5 до 20 тысяч долларов, а за уязвимости, позволяющие получить доступ к данным или приватным компонентам приложения, - с 1 до 3 тысяч долларов.
Информация о найденных уязвимостях будет добавляться в инструментарий автоматизированного тестирования для выявления аналогичных проблем в других приложениях. Авторам проблемных приложений через Play Console будут отправляться уведомления с рекомендациями по устранению проблем. Утверждается, что в рамках уже действующей инициативы по повышению безопасности Android-приложений, помощь в устранении уязвимостей была оказана более 300 тысячам разработчиков и затронула более миллиона приложений в Google Play. Исследователям безопасности за поиск уязвимостей в Google Play выплачено 265 тысяч долларов, из которых 75 тысяч в июле и августе этого года.
Совместно с платформой HackerOne также запущена программа Developer Data Protection Reward Program (DDPRP), предусматривающая выплату вознаграждений за определение и содействие в блокировании проблем, связанных с злоупотреблениями доступом к данным пользователя (например, неавторизированный сбор и отправка данных) в приложениях для Android, проектах OAuth и дополнениях к Chrome, нарушающих правила использования Google Play, Google API и Chrome Web Store. Максимальный размер вознаграждения за выявления данного класса проблем определён в 50 тысяч долларов.