Utöka felgåvor på Google Play
29 augusti 2019
Upplagt av Adam Bacchus, Sebastian Porst och Patrick Mutchler – Android-säkerhet och integritet
Vi letar ständigt efter sätt att ytterligare förbättra säkerheten och integriteten för våra produkter och de ekosystem som de stöder. Hos Google förstår vi kraften i öppna plattformar och ekosystem och att de bästa idéerna inte alltid kommer inifrån. Av detta skäl erbjuder vi flera sårbarhetskompensationsprogram, och uppmuntrar människor att hjälpa oss att förbättra säkerheten för alla. Idag intensifierar vi detta arbete med flera stora förändringar av Google Play Security Rewards Program (GPSRP), liksom lanseringen av det nya Developer Data Protection Program (DDPRP).
Räckvidden för säkerhetsprisprogrammet Google Play har ökat
Vi ökar GPSRP-täckningen för att inkludera alla applikationer på Google Play med 100 miljoner eller fler installationer. Den här applikationen är nu berättigad till priser, även om applikationsutvecklare inte har avslöjande av sårbarheter eller sitt eget felprisprogram. I det här scenariot hjälper Google till att avslöja vilka sårbarheter som identifieras på ett ansvarsfullt sätt till de drabbade applikationsutvecklarna. Detta öppnar dörren för säkerhetsforskare att hjälpa hundratals organisationer att identifiera och korrigera sårbarheter i sina applikationer. Om utvecklaren redan har sitt eget program kan forskare samla in priser direkt från dem ovanför Googles priser. Vi uppmuntrar applikationsutvecklare att börja avslöja sina egna sårbarheter eller felutdelningsprogram för att arbeta direkt med säkerhetsforskningssamhället.
GPSRP-sårbarhetsdata hjälper Google att utföra automatiska kontroller som skannar alla tillgängliga program på Google Play för liknande sårbarheter. Berörda applikationsutvecklare meddelas via Play Console som en del av programmet Security Security Improvement (ASI), som innehåller information om sårbarheter och hur du åtgärdar dem. Under sin livslängd har ASI hjälpt mer än 300 000 utvecklare att förbättra mer än 1 000 000 applikationer på Google Play. Enbart under 2018 kommer detta program att hjälpa mer än 30 000 utvecklare att förbättra mer än 75 000 applikationer. Eftereffekterna innebär att 75 000 sårbara applikationer inte distribueras till användare förrän detta problem är fixat.
Hittills har GPSRP betalat mer än $ 265 000 i priser. Nyligen utmärkelsen täckning och förbättringar har resulterat i endast 75 500 $ i utmärkelser under hela juli och augusti. Med denna förändring förväntar vi oss ett ökat engagemang från säkerhetsforskningssamhället för att stödja programmets framgång.
Introduktion av utvecklingsdataprisprogrammet
Idag lanserade vi också utvecklingsprogrammet för dataskydd. DDPRP är ett prisprogram i samarbete med HackerOne, som syftar till att identifiera och minska problem med datamissbruk i Android-applikationer, OAuth-projekt och Chrome-tillägg. Erkänna enskilda bidrag som hjälper till att rapportera applikationer som bryter mot Google Play-programpolicyn, Google API: er eller Google Chrome Web Store-tillägg.
Detta program syftar till att belöna alla som kan tillhandahålla tydliga och tydliga bevis för missbruk av data, i samma modell som Googles andra kompensationsprogram för sårbarheter. Programmet syftar specifikt till att identifiera situationer där användardata används eller säljs oväntat, eller återanvänds på ett obehörigt sätt utan användarens samtycke. Om missbruk av data identifieras vara associerat med en Chrome-applikation eller tillägg tas programmet eller tillägget bort från Google Play eller Google Chrome Web Store. Om applikationsutvecklare missbrukar åtkomst till Gmail begränsade omfattning kommer deras API-åtkomst att tas bort. Även om det inte finns något presentbord eller maximipris för tillfället, beroende på påverkan, kan en rapport generera en vinst på $ 50 000.
Allteftersom 2019 fortsätter hoppas vi se vad forskarna hittar. Tack till hela samhället för att hjälpa till att hålla vår plattform och vårt ekosystem säkert. Lyckliga jaktinsekter!
