En 2017, Google se asoció con la plataforma de recompensas de errores HackerOne y puso en marcha un programa de recompensas llamado Google Play recompensas de seguridad (GPSRP). Sin embargo, el programa nunca recibió la atención adecuada, ya que solo atiende a un puñado de aplicaciones de Android.
Ahora, Google está expandiendo el programa de recompensas de errores e incluirá todas las aplicaciones de Android que tengan 100 millones o más de descargas. Curiosamente, el anuncio llega justo después del informe de CamScanner : una aplicación de Android PDF-maker con más de 100 millones de descargas que se encontró inyectando malware en los teléfonos inteligentes.
Según el GPSRP, los investigadores de seguridad pueden informar las vulnerabilidades aquí , y Google las transmitirá a los creadores de aplicaciones en cuestión. Si los desarrolladores no responden a los errores, Google eliminará las aplicaciones de Android afectadas de Play Store. Google dice que todos los investigadores de seguridad son elegibles para las recompensas, independientemente de su asociación con otros programas de recompensas.
En cuanto a las recompensas, los investigadores de seguridad pueden reclamar un máximo de $ 20,000 por encontrar vulnerabilidades de ejecución remota de código. Además de eso, $ 3000 por encontrar una vulnerabilidad que causa el robo de datos privados. Y la misma cantidad para encontrar una vulnerabilidad en la que una aplicación intenta acceder a los componentes de otra aplicación sin tener el permiso necesario.
Según una publicación de blog , los datos de vulnerabilidad del programa GPSRP se pueden usar para rastrear automáticamente la misma vulnerabilidad en otras aplicaciones a través de otro programa llamado Mejora de seguridad de aplicaciones (ASI) . Google dice que en 2018, ASI "ha ayudado a más de 300,000 desarrolladores a arreglar más de 1,000,000 de aplicaciones en Google Play".
Por otro lado, Google también lanzó DDPRP (Programa de recompensa de protección de datos para desarrolladores), nuevamente en asociación con HackerOne. El programa recompensará a cualquiera que reporte evidencia de abuso de datos contra aplicaciones de Android y extensiones de Google Chrome.
En consecuencia, las aplicaciones y las extensiones de Chrome que violen las políticas de extensiones de Google Play, API de Google y Chrome se eliminarán de la plataforma.
0 Comentarios