Компания Google существенно расширила программу вознаграждения этичных хакеров Google Play Security Reward Program (GPSRP), а также объявила о старте совместного проекта с HackerOne, посвященного поиску проблем с безопасностью данных в Android-приложениях. Вендор наградит за информацию о багах в программах из официального репозитория с более чем 100 млн загрузок.

В рамках GPSRP участники могут получить до $20 тыс., обнаружив RCE-уязвимость, и до $3000 за другие баги. Ранее bug bounty в Google Play распространялась только на отдельные разработки, отобранные специалистами Google. В их число входили официальные приложения Alibaba, Dropbox, Mail.ru и других компаний. Подобные ограничения привели к тому, что объем выплат оставался сравнительно небольшим и с октября 2017 года составил лишь $265 тыс.

Google добавит бонус к выплатам по bug bounty разработчиков

Изменение условий программы позволило включить в нее Android-версии Facebook, Twitter, WhatsApp, Telegram и другие приложения. При этом участие в GPSRP не пересекается с другими bug bounty, то есть в теории исследователь может также получить вознаграждение напрямую от разработчика утилиты, если тот проводит подобную программу.

Как и раньше, представители Google будут принимать информацию об уязвимостях через платформу HackerOne, а уведомление о проблеме появится в личном кабинете разработчика в Play Console. Описание бага попадет в базу данных системы App Security Improvement (ASI), которая попытается найти аналогичную проблему в других приложениях в репозитории.

Кроме того, Google представила программу Developer Data Protection Reward Program (DDPRP), в рамках которой обещает выплачивать до $50 тыс. за информацию о злоупотреблении или ненадлежащей обработке пользовательских данных в сторонних приложениях. В проект попали разработки, включенные в Google Play, использующие Google API, а также расширения из магазина Chrome Web Store. Вендор обещает оперативно удалять проблемные приложения из хранилища и перекрывать им доступ к пользовательским данным.

В начале года собственную программу bug bounty анонсировала компания Mail.ru. Разработчики интернет-обозревателя Atom пообещали выплатить до миллиона рублей ИБ-специалистам, которые найдут баги в браузере на основе движка Chromium. Наибольшее вознаграждение получит этичный хакер, выполнивший свой код в рамках приложения. Побег из песочницы, обход правила общего домена и другие ошибки могут принести исследователям от $100 до $3000.

Категории: Главное, Кибероборона