Expandera gåvan med buggar på Google Play
29 augusti 2019
Upplagt av Adam Bacchus, Sebastian Porst och Patrick Mutchler – Android Security & Privacy
Vi letar ständigt efter sätt att ytterligare förbättra säkerheten och integriteten för våra produkter och de ekosystem som de stöder. Hos Google förstår vi kraften i öppna plattformar och ekosystem och att de bästa idéerna inte alltid kommer inifrån. Av denna anledning erbjuder vi olika belöningsprogram för sårbarheter, och uppmuntrar samhällen att hjälpa oss att förbättra säkerheten för alla. Idag utvidgar vi dessa ansträngningar med några större förändringar av Google Play Security Prize Program (GPSRP), liksom lanseringen av det nya Developer Data Protection (DDPRP) -programmet.
Programmet för Google Play Security Rewards ökar
Vi ökar GPSRP-täckningen för att inkludera alla applikationer på Google Play med 100 miljoner eller fler installationer. Denna ansökan är nu berättigad till utmärkelser, även om applikationsutvecklaren inte har avslöjande av sårbarheter eller sitt eget felprisprogram. I det här scenariot hjälper Google att avslöja vilka sårbarheter som identifieras på ett ansvarsfullt sätt till de drabbade applikationsutvecklarna. Detta öppnar dörren för säkerhetsforskare att hjälpa hundratals organisationer att identifiera och korrigera sårbarheter i sina applikationer. Om utvecklaren redan har sitt eget program kan forskare samla in priser direkt från dem ovan priser från Google. Vi uppmuntrar applikationsutvecklare att börja avslöja sina egna sårbarheter eller buggprisprogram för att arbeta direkt med säkerhetsforskningssamhället.
Sårbarhetsdata från GPSRP hjälper Google att automatisera kontroller som skannar alla tillgängliga program på Google Play för liknande sårbarheter. Berörda applikationsutvecklare meddelas via Play Console som en del av programmet Security Security Improvement (ASI), som innehåller information om sårbarheter och hur du åtgärdar dem. Under sin livstid har ASI hjälpt mer än 300 000 utvecklare att förbättra mer än 1 000 000 applikationer på Google Play. Enbart under 2018 kommer programmet att hjälpa mer än 30 000 utvecklare att förbättra mer än 75 000 applikationer. Nedströmseffekten innebär att 75 000 utsatta applikationer inte distribueras till användare förrän problemet är fixat.
Hittills har GPSRP betalat mer än $ 265 000 i priser. Nyligen täckning och prisökningar har resulterat i 75 500 $ priser hela juli och augusti. Med dessa förändringar räknar vi med ytterligare involvering från säkerhetsforskningssamhället för att stödja programmets framgång.
Introduktion av utvecklingsdata belöningsprogrammet
Idag lanserade vi också utvecklingsprogrammet för dataskydd. DDPRP är ett bounty-program, i samarbete med HackerOne, avsedd att identifiera och minska problem med datamissbruk i Android-applikationer, OAuth-projekt och Chrome-tillägg. Den känner igen enskilda bidrag som hjälper till att rapportera applikationer som bryter mot Google Play-programpolicyn, Google API: er eller Google Chrome Web Store-tillägg.
Detta program syftar till att belöna alla som kan ge tydliga och otvetydiga bevis för missbruk av data, i samma modell som Googles andra belöningsprogram för sårbarhet. Specifikt syftar detta program till att identifiera situationer där användardata används eller säljs oväntat, eller återanvändas på ett obehörigt sätt utan användarens samtycke. Om missbruk av data identifieras vara associerat med en Chrome-applikation eller tillägg tas programmet eller tillägget bort från Google Play eller Google Chrome Web Store. Om applikationsutvecklare missbrukar åtkomst till Gmail begränsade omfattning kommer deras API-åtkomst att tas bort. Även om det inte finns någon pristabell eller maximipris för närvarande, beroende på påverkan, kan en rapport generera en vinst på $ 50 000.
Allteftersom 2019 fortsätter hoppas vi se vad forskarna hittar. Tack till hela samhället för att ha bidragit till att upprätthålla säkerheten för vår plattform och vårt ekosystem. Lyckliga jaktinsekter!
