Google расширяет программу bug bounty и будет платить за баги в приложениях с 100 млн установок

Компания Google официально анонсировала расширение своей программы bug bounty. Теперь исследователи смогут заработать, обнаруживая злоупотребление пользовательскими данными, а также находя уязвимости в любых приложениях для Android, насчитывающих более 100 млн установок.

Developer Data Protection Reward Program (DDPRP)

Первым нововведением станет программа DDPRP, в рамках которой ИБ-специалисты смогут сообщать о злоупотреблениях данными пользователей. Такие проблемы можно будет искать в сторонних приложениях, имеющих доступ к Google API, в приложениях для Android из Google Play Store, а также в приложениях и расширениях из Chrome Web Store.

«Цель данной программы — поощрить любого, кто может предоставить достоверные и недвусмысленные доказательства злоупотребления данными, — говорят представители Google. — В частности, эта программа направлена ​​на выявление ситуаций, когда пользовательские данные неожиданным образом используются или продаются, а также незаконным образом используются повторно без согласия пользователя».

ИБ-специалисты, которые обнаружат случаи  злоупотребления данными, имеют право на вознаграждение в размере до 50 000 долларов США.

В данном случае Google следует примеру компании Facebook. В апреле 2018 года, после скандала, связанного с компанией Cambridge Analytica и злоупотреблением пользовательскими данными, социальная сеть обновила программу bug bounty, чтобы люди, обнаружившие так называемый data abuse в стороннем приложении, могут получить за это вознаграждение в размере до 40 000 долларов.

Напомню, что ранее в этом месяце Facebook расширила действие этой программы и на Instagram после очередного неприятного инцидента, связанного с компанией Hyp3r. Дело в том, что в начале августа 2019 года рекламного партнера Instagram, компанию Hyp3r,  уличили в сборе пользовательских данных для последующего составления рекламных профилей. Hyp3r тайно собирал и хранил миллионы пользовательских историй, изображений, данные о геолокации, биографиях, интересах и так далее. В итоге Hyp3r был заблокирован Facebook за нарушение правил платформы.

Bug bounty для крупных приложений

Еще один интересный анонс от Google — программа вознаграждений за любые ошибки, обнаруженные в составе крупных приложений из Google Play Store. Теперь исследователи смогут искать уязвимости в любых приложениях, чей счетчик установок перевалил за 100 миллионов, и сообщать о проблемах Google. При этом разработчикам таких приложений не придется специально где-то регистрироваться или предпринимать какие-то иные шаги.

Сообщения об уязвимостях будут приниматься через Google Play Security Reward (GPSRP) на платформе HackerOne , а затем отчеты передадут разработчикам приложений. Если те не сумеют  устранить выявленные ошибки, Google исключит приложения из Play Store.

Интересно, что такие крупные разработчики, как Facebook, Microsoft или Twitter, которые имеют собственные программы bug bounty, не исключаются из GPSRP. Более того, Google заявляет, что исследователи могут сообщать об ошибках дважды: через GPSRP и напрямую через bug bounty программы самих компаний, таким образом дважды получая вознаграждения.

Хотя на первый взгляд кажется, что Google платит за исправления багов в сторонних приложениях из своего кармана и это не имеет смысла, компания объясняет, что на самом деле это удобно и выгодно. Дело в том, что GPSRP была запущена еще в 2017 году, но не имела большой популярности: за все время Google выплатила исследователям лишь 265 000 долларов в виде вознаграждений, хотя в программу уже тогда входил ряд популярных приложений (вручную отобранных Google).

Google поясняет, что все сообщения об уязвимостях, полученные за три прошедших года, не пропали даром. Все отчеты об ошибках были каталогизированы и включены в систему, которая автоматически сканирует приложения в Google Play Store в поисках аналогичных проблем. Если баг обнаружен, разработчики уязвимого приложения получают соответствующее предупреждение через Google Play Console и имеют возможность исправить проблему, или их приложения удаляются из каталога. Эта система носит имя  App Security Improvement (ASI), и по данным компании, она уже помогла 300 000 разработчиков исправить более 1 000 000 приложений в Google Play.

Читать новость в источнике Xakep