Android-hackare: Nu finns det ett bug-bounty-program för Google Play

0 Shares

Google har meddelat att de samarbetar med HackerOne för att ta med ett bug-bounty-program till Play Store. För att rensa bort problem med Android-appar betalar Google Play Security Reward-programmet 1 000 dollar för rapporterade problem som uppfyller vissa kriterier.

Programmet skiljer sig lite från andra bug-bounty-program eftersom Google betalar ut för problem som finns i appar från tredje part, inte bara dess egna. För närvarande finns det ett mycket litet antal appar som deltar, men Google bjuder in utvecklare att välja sina appar i programmet.

De appar som för närvarande ingår i Google Play säkerhetsbelöningsprogram är Alibaba, Dropbox, Duolingo, Headspace, Line, Mail.Ru, Snapchat och Tinder, och det är de enda som en premiebelöning kommer att betalas ut för. När ett problem upptäcks av en “hackare” (som Google hänvisar till upptäckaren), måste de rapportera det till utvecklaren och arbeta med dem för att lösa det. När problemet är löst betalas belöningen.

Google noterar också att “Android Security-teamet ger en extra belöning till hackaren för att tacka dem för att de har förbättrat säkerheten inom Google Play-ekosystemet.”

Tillkännagav Google Play säkerhetsbelöningsprogram säger Google:

Google Play arbetar med den oberoende bounty-plattformen HackerOne och utvecklarna av populära Android-appar för att implementera Google Play Security Reward-programmet. Utvecklare av populära Android-appar uppmanas att delta i programmet, vilket kommer att stimulera säkerhetsforskning i en bug-bounty-modell. Målet med programmet är att ytterligare förbättra appsäkerheten som kommer att gynna utvecklare, Android-användare och hela Google Play-ekosystemet.

Det finns några saker att tänka på om du hoppas kunna tjäna en liten förmögenhet genom att upptäcka buggar. Det första är att om du rapporterar flera problem som visar sig vara relaterade, betalas endast en belöning. För det andra måste korrigering av problem rapporteras till Google inom 90 dagar, annars kommer det inte att finnas någon fördel. Google har också följande sårbarhetskriterier:

För närvarande är programmets omfattning begränsad till RCE-sårbarheter (fjärrkodkörning) och motsvarande POC (Proof of concept) som fungerar på Android 4.4-enheter och högre.

Detta översätts till alla RCE-sårbarheter som tillåter en angripare att köra valfri kod på en användares enhet utan användarnas kunskap eller tillstånd. Exempel kan vara:

Attacker får full kontroll, vilket innebär att kod kan laddas ner från nätverket och köras (ladda ner och köra godtycklig kod, native, Java-kod etc. Javascript) UI Manipulation för att begå en transaktion. Till exempel att få en bankapp att göra pengaröverföringar på användarens vägnar utan deras samtycke. Öppning av webbvisning som kan leda till nätfiskeattacker. Öppnar webbvisning utan användarinmatning eller interaktion.

Det finns inget krav på att OS-sandlåda måste kringgå.

Varje sårbarhet som kräver samverkan mellan appar eller där det finns ett beroende av att en annan app ska installeras anses vara utanför räckvidden och kommer därför inte att kvalificeras för en belöning.

Du kan ta reda på mer på sidan Google Play Security Reward Program på HackerOne-webbplatsen.

Bildkredit: dennizn / Shutterstock

0 Shares