Mở rộng món quà lỗi trên Google Play
Ngày 29 tháng 8 năm 2019
Đăng bởi Adam Bacchus, Sebastian Porst và Patrick Mutchler – Bảo mật và quyền riêng tư của Android
Chúng tôi liên tục tìm cách cải thiện hơn nữa tính bảo mật và quyền riêng tư của các sản phẩm của chúng tôi và các hệ sinh thái mà chúng hỗ trợ. Tại Google, chúng tôi hiểu sức mạnh của các nền tảng và hệ sinh thái mở và những ý tưởng tốt nhất không phải luôn xuất phát từ bên trong. Vì lý do này, chúng tôi cung cấp một số chương trình phần thưởng dễ bị tổn thương, khuyến khích các cộng đồng giúp chúng tôi cải thiện sự an toàn cho tất cả mọi người. Hôm nay, chúng tôi mở rộng những nỗ lực này bằng một số thay đổi lớn đối với Chương trình Giải thưởng Bảo mật Google Play (GPSRP), cũng như ra mắt Chương trình Bảo vệ Dữ liệu Nhà phát triển (DDPRP) mới.
Phạm vi tiếp cận của chương trình phần thưởng bảo mật Google Play tăng
Chúng tôi đang tăng phạm vi bảo hiểm GPSRP để bao gồm tất cả các ứng dụng trên Google Play với 100 triệu lượt cài đặt trở lên. Ứng dụng này hiện đủ điều kiện nhận phần thưởng, ngay cả khi nhà phát triển ứng dụng không có tiết lộ lỗ hổng hoặc chương trình phần thưởng lỗi của riêng họ. Trong kịch bản này, Google giúp tiết lộ các lỗ hổng được xác định có trách nhiệm cho các nhà phát triển ứng dụng bị ảnh hưởng. Điều này mở ra cơ hội cho các nhà nghiên cứu bảo mật giúp hàng trăm tổ chức xác định và khắc phục các lỗ hổng trong ứng dụng của họ. Nếu nhà phát triển đã có chương trình riêng, các nhà nghiên cứu có thể thu thập giải thưởng trực tiếp từ họ trên đầu các giải thưởng của Google. Chúng tôi khuyến khích các nhà phát triển ứng dụng bắt đầu tiết lộ các lỗ hổng của riêng họ hoặc các chương trình giải thưởng lỗi để làm việc trực tiếp với cộng đồng nghiên cứu bảo mật.
Dữ liệu lỗ hổng GPSRP giúp Google thực hiện kiểm tra tự động quét tất cả các ứng dụng có sẵn trên Google Play để tìm các lỗ hổng tương tự. Các nhà phát triển ứng dụng bị ảnh hưởng được thông báo qua Play Console như một phần của chương trình Cải thiện bảo mật ứng dụng (ASI), cung cấp thông tin về các lỗ hổng và cách khắc phục chúng. Trong suốt cuộc đời của mình, ASI đã giúp hơn 300.000 nhà phát triển cải thiện hơn 11.000.000 ứng dụng trên Google Play. Chỉ riêng năm 2018, chương trình sẽ giúp hơn 30.000 nhà phát triển cải thiện hơn 75.000 ứng dụng. Hiệu ứng sau có nghĩa là 75.000 ứng dụng dễ bị tổn thương không được phân phối cho người dùng cho đến khi sự cố được khắc phục.
Đến nay, GPSRP đã trả hơn 265.000 đô la tiền thưởng. Bảo hiểm và tăng giải thưởng gần đây đã dẫn đến giải thưởng $ 75.500 trong suốt tháng Bảy và tháng Tám. Với những thay đổi này, chúng tôi dự đoán sự tham gia ngày càng tăng của cộng đồng nghiên cứu bảo mật để hỗ trợ cho sự thành công của chương trình.
Giới thiệu Chương trình Phần thưởng Dữ liệu dành cho Nhà phát triển
Hôm nay, chúng tôi cũng ra mắt Chương trình Giải thưởng Bảo vệ Dữ liệu dành cho Nhà phát triển. DDPRP là một chương trình phần thưởng, phối hợp với HackerOne, nhằm xác định và giảm các vấn đề lạm dụng dữ liệu trong các ứng dụng Android, dự án OAuth và tiện ích mở rộng Chrome. Công nhận các đóng góp cá nhân giúp báo cáo các ứng dụng vi phạm chính sách chương trình Google Play, API Google hoặc tiện ích mở rộng Cửa hàng Google Chrome trực tuyến.
Chương trình này nhằm mục đích thưởng cho bất kỳ ai có thể cung cấp bằng chứng rõ ràng và rõ ràng về việc lạm dụng dữ liệu, trong cùng một mô hình với chương trình phần thưởng dễ bị tổn thương khác của Google. Cụ thể, chương trình này nhằm xác định các tình huống trong đó dữ liệu người dùng được sử dụng hoặc bán bất ngờ hoặc được sử dụng lại một cách trái phép mà không có sự đồng ý của người dùng. Nếu việc lạm dụng dữ liệu được xác định là có liên quan đến ứng dụng hoặc tiện ích mở rộng của Chrome, ứng dụng hoặc tiện ích mở rộng sẽ bị xóa khỏi Google Play hoặc Google Chrome Web Store. Nếu nhà phát triển ứng dụng lạm dụng quyền truy cập vào phạm vi giới hạn của Gmail, quyền truy cập API của họ sẽ bị xóa. Mặc dù không có bảng giải thưởng hoặc giải thưởng tối đa tại thời điểm này, tùy thuộc vào tác động, một báo cáo có thể tạo ra lợi nhuận 50.000 đô la.
Khi năm 2019 tiếp tục, chúng tôi hy vọng sẽ thấy những gì các nhà nghiên cứu tìm thấy tiếp theo. Cảm ơn toàn thể cộng đồng vì đã giúp giữ an toàn cho nền tảng và hệ sinh thái của chúng tôi. Chúc côn trùng săn bắn vui vẻ!
