Компания Google объявила о расширении программы выплаты вознаграждений за поиск уязвимостей в приложениях из каталога Google Play. Если раньше программа охватывала только наиболее значительные специально отобранные приложения Google и партнёров, то отныне премии начнут выплачивать за обнаружение проблем с безопасностью в любых приложениях для платформы Android, которые были загружены из каталога Google Play более 100 млн раз. Размер премии за выявления уязвимости, которая может привести к удалённому выполнению кода, увеличена с 5 до 20 тысяч долларов, а за уязвимости, позволяющие получить доступ к данным или приватным компонентам приложения, - с 1 до 3 тысяч долларов. Информация о найденных уязвимостях будет добавляться в инструментарий автоматизированного тестирования для выявления аналогичных проблем в других приложениях. Авторам проблемных приложений через Play Console будут отправляться уведомления с рекомендациями по устранению проблем. Утверждается, что в рамках уже действующей инициативы по повышению безопасности Android-приложений, помощь в устранении уязвимостей была оказана более 300 тысячам разработчиков и затронула более миллиона приложений в Google Play. Исследователям безопасности за поиск уязвимостей в Google Play выплачено 265 тысяч долларов, из которых 75 тысяч в июле и августе этого года. Совместно с платформой HackerOne также запущена программа Developer Data Protection Reward Program (DDPRP), предусматривающая выплату вознаграждений за определение и содействие в блокировании проблем, связанных с злоупотреблениями доступом к данным пользователя (например, неавторизированный сбор и отправка данных) в приложениях для Android, проектах OAuth и дополнениях к Chrome, нарушающих правила использования Google Play, Google API и Chrome Web Store. Максимальный размер вознаграждения за выявления данного класса проблем определён в 50 тысяч долларов. 29.08.2019 http://www.opennet.ru/opennews/art.shtml?num=51387
Google начнет выплачивать исследователем безопасности вознаграждение за уязвимости, найденные в приложениях из Play Store, у которых более 100 млн загрузок. Под действие новых правил подпадают WhatsApp, Facebook, Instagram и другие популярные приложения. Новые правила Google Google включила в свою баунти-программу все приложения из магазина Play Store, у которых более 100 млн загрузок. Исследователи безопасности, нашедшие уязвимости в этих продуктах, могут теперь сообщить об этом в Google и получить от нее финансовое вознаграждение. Указанные приложения были подведены под действие баунти-программы Google Play Security Reward Program (GPSRP), представленной на платформе HackerOne. До этого под программу подпадало всего восемь популярных приложений сторонних разработчиков, которые Google выбрала по частным соображениям. Это были Dropbox, Duolingo, Line, Snapchat, Tinder, Alibaba, Mail.ru и Headspace. Теперь же для всех приложений установлен единый порог загрузок, преодоление которого по умолчанию делает их участниками GPSRP. Новые правила вступают в силу автоматически, разработчикам не нужно заключать для этого какие-то соглашения или делать что-нибудь еще. Следует отметить, что абсолютное большинство баунти-программ в мире предлагают вознаграждение только за уязвимости в продуктах той компании, которая запустила программу, а не в чужих. Если у разработчика приложения — например, Facebook, Microsoft или Twitter — есть собственная баунти-программа, они все равно подпадают под действие новых правил GPSRP. То есть, исследователь безопасности может отправить отчет об обнаружении уязвимости и в Google, и непосредственно разработчику — и получить вознаграждение дважды. Кого это касается Порог загрузок на участие в GPSRP с легкостью преодолеют, например, WhatsApp, Facebook Messenger, само приложение Facebook или Microsoft Word у каждого из которых, по данным самого Play Store, более 1 млрд скачиваний. Для Excel, Instagram, мессенджера TikTok магазин выдает более 500 млн загрузок. Google будет платить вознаграждение за уязвимости, найденные в чужих продуктах Также по новым правилам в программу попадут сервис проверки грамматики Grammarly, сервис видеостриминга Livestream, сервис поиска скидок на покупки для путешествий Priceline, платформа для создания интернет-магазинов Shopify, платформа для просмотра видеоконтента Showmax, музыкальный сервис Spotify, шагомер Sweatcoin, сервис для поиска ресторанов Zomato и другие приложения. Условия GPSRP Вознаграждения будут выплачиваться согласно действующим ставкам GPSRP. Программа была запущена в 2017 г. Это не самая популярная среди исследователей баунти-программа Google: к настоящему моменту по ней выплачено всего $265 тыс., в то время как по другим программам Google успела выплатить миллионы долларов. По условиям GPSRP, за обнаружение уязвимости, позволяющей удаленно исполнить код, исследователь получает $20 тыс. За брешь, через которую можно украсть данные, Google платит $3 тыс., и столько же за возможность доступа к защищенным компонентам приложений. Возможность атаки незащищенных соединений по схеме «человек посередине», незащищенная обработка ссылок или перенаправление URL, приводящее к фишингу, оценивается в $500. В первые годы существования GPSRP расценки были существенно ниже — за уязвимость с возможностью исполнения удаленного кода предлагалось всего $5 тыс. Google подняла тарифы в июле 2019 г., чтобы привлечь в программу больше участников. Сканирование приложений Отчеты об уязвимостях, поступающие в GPSRP, Google каталогизирует и включает в систему App Security Improvement (ASI), которая сканирует другие приложения Play Store на наличие таких же уязвимостей. Это помогает компании извлечь максимальную выгоду из GPSRP. Если ASI нашла в другом приложении точно такую же уязвимость, что и в отчете GPSRP, разработчик получает об этом сообщение через консоль Play Store. Он обязан устранить брешь, или же его приложение будет удалено из магазина. За время своего существования ASI нашла уязвимости более чем в 1 млн приложений от 300 тыс. разработчиков. Отдельно в 2018 г. система обнаружила баги в 75 тыс. приложений от 30 тыс. разработчиков. http://safe.cnews.ru/news/top/2019-08-30_google_budet_platit_baunti