Google будет выплачивать премии за выявление уязвимостей в популярных Android-приложениях

29.08.2019 22:22

Компания Google объявила о расширении программы выплаты вознаграждений за поиск уязвимостей в приложениях из каталога Google Play. Если раньше программа охватывала только наиболее значительные специально отобранные приложения Google и партнёров, то отныне премии начнут выплачивать за обнаружение проблем с безопасностью в любых приложениях для платформы Android, которые были загружены из каталога Google Play более 100 млн раз. Размер премии за выявления уязвимости, которая может привести к удалённому выполнению кода, увеличена с 5 до 20 тысяч долларов, а за уязвимости, позволяющие получить доступ к данным или приватным компонентам приложения, - с 1 до 3 тысяч долларов.

Информация о найденных уязвимостях будет добавляться в инструментарий автоматизированного тестирования для выявления аналогичных проблем в других приложениях. Авторам проблемных приложений через Play Console будут отправляться уведомления с рекомендациями по устранению проблем. Утверждается, что в рамках уже действующей инициативы по повышению безопасности Android-приложений, помощь в устранении уязвимостей была оказана более 300 тысячам разработчиков и затронула более миллиона приложений в Google Play. Исследователям безопасности за поиск уязвимостей в Google Play выплачено 265 тысяч долларов, из которых 75 тысяч в июле и августе этого года.

Совместно с платформой HackerOne также запущена программа Developer Data Protection Reward Program (DDPRP), предусматривающая выплату вознаграждений за определение и содействие в блокировании проблем, связанных с злоупотреблениями доступом к данным пользователя (например, неавторизированный сбор и отправка данных) в приложениях для Android, проектах OAuth и дополнениях к Chrome, нарушающих правила использования Google Play, Google API и Chrome Web Store. Максимальный размер вознаграждения за выявления данного класса проблем определён в 50 тысяч долларов.

исправить +7 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/51387-bounties

Ключевые слова: bounties, google, android

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (27)

1.1, Аноним (1), 22:37, 29/08/2019 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
Фарс.

1.2, Аноним (2), 22:50, 29/08/2019 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ] [к модератору]	+/–

1.3, Аноним (3), 22:52, 29/08/2019 [ответить] [﹢﹢﹢] [ · · · ]	+3 +/–
Заливайте свой трешак в гугел-помойку, а потом сами же на него жалуйтесь

2.5, Аноним (5), 22:55, 29/08/2019 [^] [^^] [^^^] [ответить]	+1 +/–
Надо чтобы этот трешак скачали более 100 млн. раз.

3.6, Аноним (3), 22:58, 29/08/2019 [^] [^^] [^^^] [ответить]

+1 +/–

Извините, не продумал.

> Исследователям безопасности за поиск уязвимостей в Google Play выплачено 265 тысяч долларов, из которых 75 тысяч в июле и августе этого года.

Боже, какие они оказывается жадные.

3.25, опт (?), 10:18, 31/08/2019 [^] [^^] [^^^] [ответить]	+/–
Дарю идею: приложения для гей-поиска в окрестностях носителя телефона, с нескучными смайлами, комментариями и лайками!

1.4, Аноним (4), 22:55, 29/08/2019 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Вообще, неплохая идея про автотесты для таких популярных приложений. Лучше бы вообще для всех, даже с возможностью у себя развернуть, но это я размечтался.

1.7, NO U (?), 22:59, 29/08/2019 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
Что мешает авторам таких приложений специально создавать такие уязвимости, а потом их "обнаруживать"?

2.9, Аноним (9), 00:12, 30/08/2019 [^] [^^] [^^^] [ответить]	+/–
Цель поиск и закрытие любых возможных уязвимостей. Кто их создаст не имеет значения.

2.12, Ordu (ok), 02:38, 30/08/2019 [^] [^^] [^^^] [ответить]	+5 +/–
Ничто. Такое бывало не раз. Этому даже дали специальное название "эффект кобры". https://ru.wikipedia.org/wiki/%D0%AD%D1%84%D1%84

2.15, mumu (ok), 10:51, 30/08/2019 [^] [^^] [^^^] [ответить]	+2 +/–
Ничто. А вот параллельно штрафовать такую компанию было бы хорошей идеей. Это будет стимулировать её контролировать качество своего кода. Давно уже пора так делать. Гугл правда врядли осмелится, вся надежда на Евросоюз.

1.8, Аноним (8), 23:31, 29/08/2019 [ответить] [﹢﹢﹢] [ · · · ]	–3 +/–
Премии дарвина? Сами не смогут проверить свои дырявые apk?

1.10, Аноним (10), 00:27, 30/08/2019 [ответить] [﹢﹢﹢] [ · · · ]	–14 +/–
Этой помойке уже ничего не поможет. Яблоко - выбор профессионалов, а не обезьян, сидящих на дырявых ведрах!

2.11, Аноним (11), 00:40, 30/08/2019 [^] [^^] [^^^] [ответить]	+7 +/–
> Яблоко - выбор профессионалов Не смешите.

2.16, Аноний (?), 11:31, 30/08/2019 [^] [^^] [^^^] [ответить]	+/–
Профессионалов в чем? В тыканье в телефончик

2.17, Аноним (-), 11:41, 30/08/2019 [^] [^^] [^^^] [ответить]

+/–

> профессионалов

А профессионализм какой подразумевается? Высокий скилл владения указательным пальцем? Слоган типа: "Ещё вчера ты ковырялся этим пальцем в за@#$%ице, а теперь яблочный обменестратор"?

Эх, потёмкинская деревня...

3.23, Канифоль Патрика (?), 02:24, 31/08/2019 [^] [^^] [^^^] [ответить]	+/–
Это вам не ниграконшоль разрутованного в лоскуты ВедроСеятеля!

2.18, Аноним (18), 11:42, 30/08/2019 [^] [^^] [^^^] [ответить]	+/–
Профессионалов, лол. Ну хорошо хоть на ipod, а то на этом вообще горы свернуть можно. Стоп, только не говорите мне, что музыкальный плеер и современный смартфон это средство потребления и развлечения, а не профессиональный инструмент.

2.19, BodySome (?), 13:29, 30/08/2019 [^] [^^] [^^^] [ответить]

–1 +/–

https://googleprojectzero.blogspot.com/2019/08/a-very-deep-dive-into-ios-explo

Там о пользователях знатно позаботились - даже устанавливать ничего не надо! Зашёл на вредоносный сайт - опа! - все твои данные уже в руках у какеров.

А с андроидом да, одни мучения.

3.22, Канифоль Патрика (?), 02:23, 31/08/2019 [^] [^^] [^^^] [ответить]	+/–
Earlier this year Google's Threat Analysis Group (TAG) discovered a small collection of hacked websites. The hacked sites were being used in indiscriminate watering hole attacks against their visitors, using iPhone 0-day.

1.13, user90 (?), 10:20, 30/08/2019 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Интересно, а встроенные в приложения трояны тоже попадают в класс уязвимостей?

1.14, mumu (ok), 10:48, 30/08/2019 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
Вы работаете в крупной конторе мелким программером, деплоите говнокод в их аппликухе и подумываете как заработать? Теперь у вас есть шанс! За ваш говнокод назначена премия! п.с. Адекватной мерой будет штраф компании с найденной уязвимостью на сумму x10-x100 от выплаченной премии. Для хорошей стимуляции.

1.20, Аноним (20), 15:37, 30/08/2019 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Помогите, пожалуйста, у меня плохо с арифметикой. Делю 265_000 (сумма вознаграждений) на 1_000_000 (приложений). Никак не получается 5000.

1.21, Аноним (-), 16:37, 30/08/2019 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
Пусть Гугл сначала выложит исходники своих зондов. А посяля поговорим о выявлении у них уязвимостей. Гуглу не помогайте!

1.24, Аноним (24), 05:41, 31/08/2019 [ответить] [﹢﹢﹢] [ · · · ]	+/–
"молодец! премию получишь! без жуёв!"

1.26, Аноним (26), 02:37, 01/09/2019 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Лучше бы они платили за облегчение своего говнокода. Устройства с гигом оперативки отлично работают, пока там 16 сервис и 12 ютюб. Но они его обновляют без спроса. Я знаю что можно запретить, но что делать с медиаплеерами? Рут не поставишь. Похоже накачу линукс, благо он есть для этого устройства.

1.27, Аноним (27), 12:19, 03/09/2019 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Корпорации добра конечно же надо верить! Только если багрепорт по уязвимости будет не по форме которую нельзя получить не послав багрепорт то к тебе выезжают злые автоматчики на чорных вертолетах и автоматически вкатывается иск на оверстопятсот лямов и пожизненный электростул, ага.. лучше уж неспеша за скромные полбиткоена вонючкам на даркбирже втулить чортов сикретек и заниматься своими скромными делами. А даже если чудом все сделал правильно то тебе с барского стола конешн отсыпят крошек но поставят на карандаш и будут трахать мозг до конца жизни, мвхаха!

игнорирование участников | лог модерирования

Добавить комментарий

Текст: