Program hadiah bug Play Store berkembang ke semua aplikasi dengan 100 juta unduhan

Memperluas karunia bug di Google Play

29 Agustus 2019

Diposting oleh Adam Bacchus, Sebastian Porst, dan Patrick Mutchler – Keamanan & Privasi Android

Kami terus mencari cara untuk lebih meningkatkan keamanan dan privasi produk kami, dan ekosistem yang didukungnya. Di Google, kami memahami kekuatan platform terbuka dan ekosistem, dan bahwa ide-ide terbaik tidak selalu datang dari dalam. Karena alasan inilah kami menawarkan berbagai program penghargaan kerentanan, mendorong masyarakat untuk membantu kami meningkatkan keamanan bagi semua orang. Hari ini, kami memperluas upaya-upaya tersebut dengan beberapa perubahan besar pada Program Hadiah Keamanan Google Play (GPSRP), serta peluncuran Program Hadiah Perlindungan Data Pengembang (DDPRP) yang baru.

Lingkup Program Imbalan Keamanan Google Play Meningkat

Kami meningkatkan cakupan GPSRP untuk memasukkan semua aplikasi di Google Play dengan 100 juta atau lebih pemasangan. Aplikasi ini sekarang memenuhi syarat untuk penghargaan, bahkan jika pengembang aplikasi tidak memiliki pengungkapan kerentanan atau program hadiah bug mereka sendiri. Dalam skenario ini, Google membantu mengungkapkan kerentanan yang diidentifikasi secara bertanggung jawab kepada pengembang aplikasi yang terkena dampak. Ini membuka pintu bagi peneliti keamanan untuk membantu ratusan organisasi mengidentifikasi dan memperbaiki kerentanan dalam aplikasi mereka. Jika pengembang sudah memiliki program mereka sendiri, peneliti dapat mengumpulkan hadiah langsung dari mereka di atas hadiah dari Google. Kami mendorong pengembang aplikasi untuk memulai pengungkapan kerentanan mereka sendiri atau program hadiah bug untuk bekerja secara langsung dengan komunitas peneliti keamanan.

Data kerentanan dari GPSRP membantu Google membuat pemeriksaan otomatis yang memindai semua aplikasi yang tersedia di Google Play untuk kerentanan serupa. Pengembang aplikasi yang terpengaruh diberitahu melalui Play Console sebagai bagian dari program Peningkatan Keamanan Aplikasi (ASI), yang menyediakan informasi tentang kerentanan dan cara memperbaikinya. Selama masa pakainya, ASI telah membantu lebih dari 300.000 pengembang memperbaiki lebih dari 1.000.000 aplikasi di Google Play. Pada tahun 2018 saja, program ini membantu lebih dari 30.000 pengembang memperbaiki lebih dari 75.000 aplikasi. Efek hilir berarti bahwa 75.000 aplikasi yang rentan itu tidak didistribusikan kepada pengguna hingga masalah diperbaiki.

Sampai saat ini, GPSRP telah membayar lebih dari $ 265.000 dalam bentuk hadiah. Peningkatan cakupan dan hadiah baru-baru ini telah menghasilkan hadiah $ 75.500 di seluruh Juli & Agustus saja. Dengan perubahan-perubahan ini, kami mengantisipasi keterlibatan lebih jauh dari komunitas riset keamanan untuk mendukung keberhasilan program.

Memperkenalkan Program Hadiah Perlindungan Data Pengembang

Hari ini, kami juga meluncurkan Program Hadiah Perlindungan Data Pengembang. DDPRP adalah program karunia, bekerja sama dengan HackerOne, dimaksudkan untuk mengidentifikasi dan mengurangi masalah penyalahgunaan data di aplikasi Android, proyek OAuth, dan ekstensi Chrome. Ini mengakui kontribusi individu yang membantu melaporkan aplikasi yang melanggar kebijakan program Google Play, Google API, atau Ekstensi Google Chrome Web Store.

Program ini bertujuan untuk menghargai siapa saja yang dapat memberikan bukti penyalahgunaan data yang jelas dan tidak ambigu, dalam model yang sama seperti program imbalan kerentanan Google lainnya. Secara khusus, program ini bertujuan untuk mengidentifikasi situasi di mana data pengguna sedang digunakan atau dijual secara tidak terduga, atau digunakan kembali dengan cara yang tidak sah tanpa persetujuan pengguna. Jika penyalahgunaan data diidentifikasi terkait dengan aplikasi atau ekstensi Chrome, aplikasi atau ekstensi tersebut akan dihapus dari Google Play atau Google Chrome Web Store. Jika pengembang aplikasi menyalahgunakan akses ke lingkup terbatas Gmail, akses API mereka akan dihapus. Meskipun tidak ada tabel hadiah atau hadiah maksimum yang tercantum pada saat ini, tergantung pada dampaknya, satu laporan dapat menghasilkan laba sebesar $ 50.000.

Saat 2019 berlanjut, kami berharap dapat melihat apa yang peneliti temukan selanjutnya. Terima kasih kepada seluruh komunitas karena berkontribusi menjaga keamanan platform dan ekosistem kita. Selamat berburu serangga!

Pos terkait

Back to top button