Google заплатит хакерам за обнаружение ошибок в приложениях с более чем 100 млн установок

Google объявил об изменениях в своей программе вознаграждений, чтобы устранить уязвимости, обнаруженные в популярных приложениях для Android.

Только на этой неделе CamScanner, приложение с более чем 100 миллионами установок, было удалено из Play Store после того, как было обнаружено распространение вредоносного ПО.

Обнаруженные исследователями Касперского, последние версии CamScanner поставляются с вредоносным модулем Trojan Dropper, который извлекает и запускает другой вредоносный модуль из зашифрованного файла, найденного в ресурсах приложения.

CamScanner — далеко не единственный пример этого, поэтому Google предпринимает все более активные действия для защиты пользователей Android.

Если раньше Программа поощрений за безопасность в Google Play (GPSRP) предоставляла только денежные вознаграждения за приложения, разработанные Google, то теперь эта инициатива была распространена на все приложения, число которых превышает 100 миллионов.

В публикации, опубликованной инженерами Google Патриком Мучлером, Себастьяном Порстом и Адамом Бахусом, они написали:

«Мы расширяем возможности GPSRP, чтобы включить все приложения в Google Play с более чем 100 миллионами установок.

Эти приложения теперь имеют право на вознаграждение, даже если разработчики приложений не имеют своего собственного сообщения об уязвимости или программы вознаграждения за ошибки».

Google будет координировать между исследователем безопасности и разработчиком уязвимого приложения, чтобы гарантировать, что уязвимость устранена безопасным и ответственным образом.

Существует три типа уязвимостей, в настоящее время подходящих для выплаты GPSRP:

Ошибки удаленного выполнения кода ($ 20 000)

Кража небезопасных личных данных (3000 долларов США)

Доступ к защищенным компонентам приложения (3000 долл. США)

Там, где у популярного разработчика приложений уже есть собственная программа вознаграждений, исследователи в области безопасности смогут получить вознаграждение как от Google, так и от разработчика приложения. На сегодняшний день сам GPSRP выплатил более 265 000 долларов в виде вознаграждений.

Новые награды должны помочь значительно повысить безопасность Android, стимулируя исследователей делать правильные вещи, если обнаружена уязвимость.