Google заплатить хакерам за пошук помилок у програмах з більш ніж 100 мільйонами установок

Google оголосив про зміни у програмі винагород, щоб усунути вразливості, виявлені в популярних програмах для Android.

Тільки цього тижня CamScanner, програма з більш ніж 100 мільйонами установок, була видалена з Play Store після того, як було виявлено поширення шкідливого програмного забезпечення.

Виявлені дослідниками Касперського, останні версії CamScanner поставляються з шкідливим модулем Trojan Dropper, який витягує та запускає інший шкідливий модуль із зашифрованого файлу, знайденого в ресурсах програми.

CamScanner - далеко не єдиний приклад цього, тому Google робить все активніші дії для захисту користувачів Android.

Якщо раніше Програма заохочень за безпеку в Google Play (GPSRP) надавала лише грошові винагороди за програми, розроблені Google, тепер ця ініціатива була поширена на всі додатки, кількість яких перевищує 100 мільйонів.

У публікації, опублікованій інженерами Google Патріком Мучлером, Себастьяном Порстом та Адамом Бахусом, вони написали:

«Ми розширюємо можливості GPSRP, щоб увімкнути всі програми в Google Play з більш ніж 100 мільйонами установок.

Ці програми тепер мають право на винагороду, навіть якщо розробники додатків не мають свого власного повідомлення про вразливість або програму винагороди за помилки».

Google буде координувати між дослідником безпеки та розробником вразливої програми, щоб гарантувати, що вразливість усунута безпечним та відповідальним чином.

Існує три типи вразливостей, які в даний час підходять для виплати GPSRP:

Помилки віддаленого виконання коду ($20 000)

Крадіжка небезпечних особистих даних (3000 доларів США)

Доступ до захищених компонентів програми (3000 дол. США)

Там, де популярний розробник додатків вже має власну програму винагород, дослідники в галузі безпеки зможуть отримати винагороду як від Google, так і від розробника додатка. На сьогоднішній день сам GPSRP виплатив понад 265 000 доларів у вигляді винагород.

Нові нагороди повинні допомогти значно підвищити безпеку Android, стимулюючи дослідників робити правильні речі, якщо виявлено вразливість.