Googles bug bounty-program täcker nu alla stora Android-appar

0 Shares

Bug bounty

Bug bounty-program har blivit ett populärt sätt för utvecklare att spåra säkerhetsproblem i programvara, men stora utbetalningar är inte något som alla företag har råd med.

I ett försök att hålla sin Android-plattform säker har Google meddelat att sitt eget bug-bounty-program utvidgas till att omfatta alla stora Android-appar, oavsett vem som utvecklar dem. Företaget kommer att belöna säkerhetsforskare som hittar fel i vilken app som helst i Google Play Store med 100 miljoner installationer eller mer.

Se även:

Genom att göra ändringen erkänner Google att inte alla apputvecklare har ekonomi för att stödja sina egna bug-bounty-program. Tron är att Google kan automatisera processen att kontrollera andra appar för samma problem genom att hjälpa utvecklare att upptäcka fel i sin programvara.

Meddelandet om utvidgningen av Google Play Security Reward Program säger företaget:

Vi ökar omfattningen av GPSRP så att alla appar i Google Play inkluderas med 100 miljoner installationer eller mer. Dessa appar är nu berättigade till belöningar, även om apputvecklarna inte har ett eget avslöjande av sårbarheter eller bug bounty-program. I dessa scenarier hjälper Google ansvarsfullt att avslöja identifierade sårbarheter för den berörda apputvecklaren. Detta öppnar dörren för säkerhetsforskare att hjälpa hundratals organisationer att identifiera och åtgärda sårbarheter i sina appar. Om utvecklarna redan har egna program kan forskare samla in belöningar direkt från dem ovanpå belöningarna från Google. Vi uppmuntrar apputvecklare att starta sitt eget avslöjande av sårbarheter eller bug bounty-program för att arbeta direkt med säkerhetsforskare.

Samtidigt har Google också samarbetat med HackerOne för att starta utvecklingsprogrammet för dataskydd för utvecklare. Detta program är utformat för att markera fall av datamissbruk i Android-appar, Chrome-tillägg och OAuth-projekt. Google förklarar:

Programmet syftar till att belöna alla som kan tillhandahålla verifierbart och otvetydigt bevis för datamissbruk, i en liknande modell som Googles andra sårbarhetsbelöningsprogram. Programmet syftar särskilt till att identifiera situationer där användardata används eller säljs oväntat, eller återanvänds på ett olagligt sätt utan användarens samtycke. Om datamissbruk identifieras relaterat till en app eller Chrome-tillägg, kommer den appen eller tillägget därför att tas bort från Google Play eller Google Chrome Web Store. Om en apputvecklare missbrukar åtkomst till Gmail-begränsade omfattningar kommer deras API-åtkomst att tas bort. Medan ingen belöningstabell eller maximal belöning listas just nu, kan en enskild rapport, beroende på inverkan, netto vara så stor som en $ 50.000 bounty.

Ta reda på mer på webbplatsen för utvecklingsdataskyddbelöningsprogrammet.

0 Shares