Google espandere pagamento di premi per la ricerca di vulnerabilità nelle applicazioni dal catalogo di Google Play. Se in precedenza il programma copriva solo le applicazioni più significative, appositamente selezionate da Google e dai suoi partner, da ora in poi inizieranno ad essere pagati premi per il rilevamento di problemi di sicurezza in tutte le applicazioni per la piattaforma Android scaricate dal catalogo di Google Play. più di 100 milioni di volte. L'entità del premio per l'identificazione di una vulnerabilità che può portare all'esecuzione di codice in modalità remota è stata aumentata da 5 a 20mila dollari e per le vulnerabilità che consentono l'accesso a dati o componenti privati dell'applicazione da 1 a 3mila dollari.
Le informazioni sulle vulnerabilità rilevate verranno aggiunte agli strumenti di test automatizzati per identificare problemi simili in altre applicazioni. Autori di applicazioni problematiche tramite Verranno inviate notifiche con consigli per risolvere i problemi. Si presume che, nell'ambito di un'iniziativa in corso per migliorare la sicurezza delle applicazioni Android, sia stata fornita assistenza nell'eliminazione delle vulnerabilità a più di 300mila sviluppatori e abbia interessato più di un milione di applicazioni su Google Play. I ricercatori di sicurezza sono stati pagati 265 dollari per trovare vulnerabilità in Google Play, di cui 75 dollari sono stati pagati a luglio e agosto di quest’anno.
È stato inoltre lanciato un programma insieme alla piattaforma HackerOne (DDPRP), che offre premi per identificare e aiutare a bloccare i problemi di abuso dei dati degli utenti (come la raccolta e l'invio non autorizzati di dati) nelle app Android, nei progetti OAuth e nei componenti aggiuntivi di Chrome che violano le norme sull'utilizzo di Google Play, l'API di Google e Chrome Web Negozio.
La ricompensa massima per l'identificazione di questa classe di problemi è fissata a 50mila dollari.
Fonte: opennet.ru