Annons
Om du är en Android-apputvecklare med en näsa för att jaga upp säkerhetsproblem kan du få betalt för att låna dina färdigheter till Google. Hackare har lyckats plantera program som är infekterade med skadlig kod i Google Play Store, av vilka några har fått miljoner nedladdningar.
Som svar har Google öppnat sitt bounty-program som låter utvecklare gräva efter säkerhetsproblem i vanliga appar. Tidigare täcktes bara några appar. Nu är alla populära Play Store-appar en del av programmet. Programmet betalar ut kontanta belöningar för utvecklare som hittar och rapporterar säkerhetsproblem.
Varför Google har ett Bug Bounty-program
Google har haft ett bounty-program för sina egna appar under lång tid. Liksom många företag, Google erbjuder belöningar till utvecklare som avslöjar problem på sina webbplatser Google betalar dig 100 $ + om du bara hjälper demGoogle har betalat ut hundratusentals dollar till vanliga användare för att göra en enkel sak. Läs mer . Det erbjuder också belöningar för att hitta buggar i sin Chrome-webbläsare eller sitt Chrome-operativsystem. Men nyligen har det tagit det mer radikala steget att erbjuda belöningar för buggar som finns i andra företags appar också.
Den första iterationen av bountyprogrammet i Play Store gällde endast på ett mycket litet antal toppappar. Nu har Google utökat programmet till att täcka alla appar i Play Store med mer än 100 miljoner installationer. Det betyder att det finns många fler möjligheter för bugjägare att upptäcka problem i Play Store-appar och får belöning för att rapportera dem, även om apputvecklarna inte erbjuder sina egna felbounty program.
Google säger att det introducerade detta program i hopp om att "uppmuntra samhället att hjälpa oss att förbättra säkerheten för alla". Därför uppmuntrar det bugjägare som upptäcker ett fel att rapportera det till apputvecklarna och till Google. Detta ger de ursprungliga apputvecklarna chansen att fixa felet snabbt. Och det betyder bättre säkerhet för alla som använder Android-appar.
Hur man engagerar sig i Bug Bounty-programmet
Bounty-schema för Play Store kallas Google Play Security Reward Program (GPSRP). Google inbjuder säkerhetsforskare och apputvecklare att delta. Det första steget är att fylla i ett Ansökan att gå med i programmet. Du kan leta efter säkerhetsproblem i valbar app i Play Store när du har godkänts.
Det finns tre typer av sårbarheter som deltagarna letar efter. För det första är sårbarheter för exekvering av extern kod de som gör det möjligt för en hacker att komma åt en användares enhet och göra ändringar. Det här är mycket allvarliga säkerhetsfrågor.
För det andra är det frågan om stöld av osäkra privata uppgifter. Det är här som en sårbarhet tillåter en hackare att stjäla personlig information som inloggningsinformation, webbhistorik eller kontaktlistor.
För det tredje finns det åtkomst till skyddade appkomponenter. Detta avser appar som utför funktioner som de inte har behörighet för. Till exempel en app som skickar SMS, även om den inte har behörighet från användaren att göra det.
Programmet täcker inte vissa säkerhetsproblem. Exempelvis är phishing-attacker, även om de är potentiellt farliga, inte kvalificerade. Detta beror på att de fungerar genom att lura användaren och inte genom att köra skadlig kod. Programmet täcker inte heller attacker som kräver fysisk åtkomst till en enhet.
När du har upptäckt ett fel ska du kontakta appens utvecklare för att meddela dem. Då kan du arbeta tillsammans med utvecklaren för att lösa problemet. När sårbarheten har lösts kan du kräva din kontant belöning från Google.
Tjäna belöningar för att upptäcka datamissbruk av appar
Google erbjuder inte bara belöningar för att hitta säkerhetsfel. Det försöker slå ner appar som också stjäl användardata. Nyligen lanserade företaget sin Belöningsprogram för utvecklare av dataskydd (DDPRP) som erbjuder liknande belöningar för utvecklare som upptäcker datamissbruk av appar.
De typer av datamissbruk som programmet letar efter är appar som samlar in och säljer användardata på ett sätt som strider mot Googles sekretesspolicy. Till exempel kan detta vara en app som samlar in data från användarnas kontaktböcker som metadata som visar vem de ringde och när, utan att skydda detta som känslig information.
Det skulle också täcka appar som bryter mot regler om behörigheter, till exempel en app som har tillgång till SMS-behörigheter, men använder detta för att samla in data om användarnas SMS-meddelanden att sälja till tredje parter. Alternativt skulle det täcka en app som ber om tillåtelse att få åtkomst till kontaktdata och sedan återanvänder den informationen för en icke-relaterad app.
Om du vill se mer information om exakt vilka typer av datamissbruk som kvalificerar sig för programmet kan du titta på DDPRP-webbplats. Liksom med bounty-programmet är valfri app i Play Store med mer än 100 miljoner installationer kvalificerad.
De belöningar som erbjuds för att upptäcka buggar
Det finns kontanta belöningar för både buggubben och programmen för missbruk av data. Det belopp som betalas ut för en rapport beror på svårighetsgraden av frågan. Det beror också på kvaliteten på rapporten som skickas till Google.
Belöningen för Google Play Security Reward-programmet sträcker sig från $ 5,000 till $ 20 000 för exekveringsfel för exekvering av kod, från $ 1.000 till $ 3.000 för stöld av osäkra privata uppgifter, och från $ 1.000 till $ 3.000 för åtkomst till skyddad app komponenter. Dessutom finns det bonusar för att avslöja sårbarheterna för apputvecklarna på ett ansvarsfullt sätt. Detta ger utvecklarna möjlighet att korrigera problemet.
Belöningen för Reward-programmet för utvecklare av dataskydd sträcker sig från $ 100 till $ 1000. För att kräva belöningen måste du skicka in en rapport. Du bör skriva information om vilken datapolicy har kränkts, hur data missbrukades och en lista över tider då appen bröt mot policyn.
Tjäna pengar genom att jaga säkerhetsproblem
Googles bounty-program för bounty och datamissbruk ger dig chansen att tjäna pengar. De låter dig också hjälpa till att förbättra säkerheten för appar som distribueras via Play Store. Om du är intresserad av fler feljaktmöjligheter kan du också kolla in andra företags program. För några exempel, se vår lista med fantastiska bounty-program för att tjäna fickpengar 25 fantastiska "Bug Bounty" -program för att tjäna fickpengarOm du har expertis inom säkerhetsprotokoll kan du tjäna lite extra pengar på jakt efter buggar i populära appar och webbplatser och belönas med en bountybounty. Här är de bäst betalande programmen 2016. Läs mer .
Georgina är en vetenskaps- och teknikförfattare som bor i Berlin och har en doktorsexamen i psykologi. När hon inte skriver är hon vanligtvis att hitta på sin PC eller cykla, och du kan se mer av hennes skrivande på georginatorbet.com.