Google facilita a los investigadores de seguridad que buscan errores en Play Store al extender el alcance de su Programa de Recompensas de Seguridad de Google Play (GPSRP) a todas las aplicaciones en su tienda con más de 100 millones de instalaciones.
El gigante de las búsquedas también lanzó un nuevo programa en colaboración con HackerOne, el Developer Data Protection Award (DDPRP), cuyo objetivo es detectar el uso indebido de datos en aplicaciones de Android, proyectos OAuth y extensiones de Chrome.
Desde el lanzamiento de su programa de bonificación de errores en 2010, Google ya ha pagado más de € 15 millones a los investigadores de seguridad y GPSRP ya ha pagado más de € 256,000 en primas. Al agregar aplicaciones populares de Android al programa, la compañía los hace elegibles para recibir recompensas, ya que los desarrolladores de aplicaciones tienen su propio programa de divulgación de vulnerabilidad o programa de bonificación de errores.
A cambio de pagar una prima de error, Google utilizará los datos de vulnerabilidad recopilados por los investigadores de seguridad para crear controles automatizados que escaneen todas las aplicaciones de Play Store en busca de vulnerabilidades similares. Los desarrolladores cuyas aplicaciones contienen errores son notificados a través de Play Console y el programa de Mejora de la Seguridad de la Aplicación (ASI) les proporcionará información sobre la vulnerabilidad y cómo solucionarla. En febrero pasado, Google reveló que ASI ya había ayudado a más de 300,000 desarrolladores a reparar más de un millón de aplicaciones en Google Play.
Programa de recompensa de protección de datos de desarrollador
Además de desarrollar su actual programa de precios de errores para Android, Google también lanzó DDPRP para identificar y mitigar problemas de abuso de datos en aplicaciones de Android, proyectos OAuth y extensiones de Chrome. En lugar de detectar vulnerabilidades, este programa recompensará a los investigadores de seguridad que encuentren e informen aplicaciones que violen las políticas del programa Google Play, las API de Google o las extensiones de Chrome Web Store.
Los que pueden encontrar evidencia de abuso de datos verificables podrían ser pagados. En la página DDPRP del sitio web HackerOne, Google destaca las aplicaciones que acceden a los contactos de un usuario y no trata dichos datos como datos personales o confidenciales, así como las aplicaciones que violan su política de permisos. utilizando datos de contacto sin permiso del usuario para otro servicio no relacionado. La aplicación original.
La compañía no proporcionó una recompensa máxima, pero dependiendo de su impacto, un solo informe podría generar un bono de € 50,000 para un investigador de seguridad.
Las aplicaciones de Android y las extensiones de Chrome que usan indebidamente los datos del usuario se eliminarán de sus respectivas tiendas. Si un desarrollador también abusa del acceso a los ámbitos restringidos de Gmail, se eliminará su acceso a la API.
Via VentureBeat