Prylar, Mobiler, Appnedladdningar, Android Apps recensioner

Play Store-buggpremierprogrammet expanderar till alla appar med 100 miljoner + nedladdningar

Utöka buggadrag på Google Play

29 augusti 2019

Upplagt av Adam Bacchus, Sebastian Porst och Patrick Mutchler – Android Security & Privacy

Vi letar ständigt efter sätt att ytterligare förbättra säkerheten och integriteten för våra produkter och de ekosystem som de stöder. Hos Google förstår vi styrkan hos öppna plattformar och ekosystem och att de bästa idéerna inte alltid kommer inifrån. Det är av denna anledning som vi erbjuder ett brett utbud av belöningsprogram för sårbarhet, och uppmuntrar samhället att hjälpa oss att förbättra säkerheten för alla. Idag utvidgar vi dessa ansträngningar med några stora förändringar av Google Play Security Reward Program (GPSRP), liksom lanseringen av det nya Developer Data Protection Reward Program (DDPRP).

Omfattningen av belöningsprogrammet för Google Play ökar

Vi ökar GPSRP: s omfattning för att inkludera alla appar i Google Play med 100 miljoner eller fler installationer. Dessa appar är nu berättigade till belöningar, även om apputvecklarna inte har sitt eget avslöjande av sårbarhet eller bounty-program. I dessa scenarier hjälper Google på ett ansvarsfullt sätt att avslöja identifierade sårbarheter för den berörda apputvecklaren. Detta öppnar dörren för säkerhetsforskare att hjälpa hundratals organisationer att identifiera och fixa sårbarheter i sina appar. Om utvecklarna redan har sina egna program kan forskare samla in belöningar direkt från dem ovanpå belöningen från Google. Vi uppmuntrar apputvecklare att starta sitt eget avslöjande av sårbarhet eller bounty-program för att arbeta direkt med säkerhetsforskare.

Sårbarhetsdata från GPSRP hjälper Google att skapa automatiserade kontroller som skannar alla tillgängliga appar i Google Play efter liknande sårbarheter. Påverkade apputvecklare meddelas via Play Console som en del av programmet App Security Improvement (ASI), som ger information om sårbarheten och hur man åtgärdar det. Under sin livstid har ASI hjälpt mer än 300 000 utvecklare fixa mer än 1000 000 appar på Google Play. Enbart under 2018 hjälpte programmet över 30 000 utvecklare att fixa över 75 000 appar. Nedströmseffekten innebär att de 75 000 utsatta apparna inte distribueras till användare förrän problemet är fixat.

Hittills har GPSRP betalat ut över $ 265 000 i bounties. Senare omfattning och belöningsökningar har resulterat i 75 500 $ i belöningar endast i juli och augusti. Med dessa förändringar förutser vi ännu ett engagemang från säkerhetsforskningssamhället för att stärka programmets framgång.

Introduktion av utvecklingsprogrammet för dataskydd

Idag lanserar vi också utvecklingsprogrammet för dataskydd. DDPRP är ett bounty-program, i samarbete med HackerOne, tänkt att identifiera och mildra problem med datamissbruk i Android-appar, OAuth-projekt och Chrome-tillägg. Den känner igen bidrag från individer som hjälper till att rapportera appar som bryter mot Google Play, Google API eller Google Chrome Web Store Extensions-programpolicy.

Programmet syftar till att belöna alla som kan tillhandahålla verifierbart och otvetydigt bevis på missbruk av data, i en liknande modell som Googles andra program för belöning av sårbarheter. Programmet syftar särskilt till att identifiera situationer där användardata används eller säljs oväntat eller återanvändas på ett olagligt sätt utan användarens samtycke. Om datamissbruk identifieras relaterat till en app eller Chrome-tillägg kommer den appen eller tillägget att tas bort från Google Play eller Google Chrome Web Store. Om en apputvecklare missbrukar åtkomst till begränsade tillämpningsområden för Gmail kommer deras API-åtkomst att tas bort. Även om ingen belöningstabell eller maximal belöning listas för närvarande, beroende på påverkan, kan en enda rapport netto vara så stor som en $ 50.000-premie.

Allteftersom 2019 fortsätter ser vi fram emot att se vad forskarna hittar. Tack till hela samhället för att du har bidragit till att hålla våra plattformar och ekosystem säkra. Lycklig feljakt!