 Google стартира в платформата HackerOne новата програма за заплащане на разкрити уязвимости Google Play Security Reward. Да разкрием още някои интересни подробности за тази програма.Интернет гигантът отдавна плаща немалки суми за разкрити бъгове в неговите продукти. Но сега за първи път ща заплаща за бъгове, открити в чужди приложения. Сuмата не е много голяма – $1000, но и намирането на бъгове е много по-лесно, отколкото в софтуера на Google. Изплащат се бъгове в 13 популярни Android приложения, създадени от следните компании: Alibaba (com.alibaba.aliexpresshd)Dropbox (com.dropbox.android, com.dropbox.paper)Duolingo (com.duolingo)Headspace (com.getsomeheadspace.android)Line (jp.naver.line.android)Mail.Ru (ru.mail.cloud, ru.mail.auth.totp, ru.mail.mailapp, com.my.mail, ru.mail.calendar)Snapchat (com.snapchat.android)Tinder (com.tinder)Навярно с времето списъкът ще бъде допълнен и е добра идея, периодично да бъде проверяван. Системата работи по следния начин: след откриването на бъга, хакерът требва директно да съобщи на разработчика, според правилата на самия разработчик. Когато той оправи уязвимостта, става възможно в продължения на 90 дни да се подаде заявка за получаване на възнаграждение по програмата Google Play Security Reward. Тези хиляда долара са допълнителен бонус към възнаграждението, което хакерите получават от разработчика, ако разбира се, и той има програма за заплащане на разкрити бъгове. Няма никакви ограничения за участие в Google Play Security Reward и Google кани всички, които имат желание и възможности да се занимават с това. Засега се заплащат само RCE уязвимости (отдалечено изпълнение на код), когато злоумишленикът може да промени UI за извършването на транзакция или получаване на контрол върху приложението. Не се заплащат бъговете, за използването на които е необходима още някаква програма в устройството. За разкриването на бъг в своя софтуер, Google заплаща много повече – до $31 337 за отдалечено изпълнение на код. |
