Google heeft op HackerOne het Google Play Security Reward Program opgezet. Ontwikkelaars van populaire apps kunnen zich aanmelden en Google beloont vinders van kwetsbaarheden. Hackers krijgen duizend dollar en een extra beloning van het Android Security-team.
Momenteel zijn acht apps onderdeel van het nieuwe bug-bountyprogramma. Het gaat om Alibaba, Dropbox, Duolingo, Headspace, Line, Mail.Ru, Snapchat en Tinder. Na verloop van tijd worden wellicht meer apps toegevoegd, zegt Google. App-ontwikkelaars moeten zich daarvoor aanmelden bij Google. Alleen populaire apps komen in aanmerking.
Om een bug bounty op te strijken, moeten hackers de kwetsbaarheid eerst melden aan de maker van de desbetreffende app. Vervolgens zal de app-ontwikkelaar samenwerken met de hacker om de kwetsbaarheid op te lossen. Als dat is gedaan, mag de hacker zijn vinding melden bij het Google Play Security Reward Program.
Binnen het programma op HackerOne looft Google een bedrag van duizend dollar per gevonden kwetsbaarheid uit, mits deze aan de gestelde criteria voldoet. Dat bedrag kan nog oplopen, want in de omschrijving meldt Google dat het Android Security-team een aanvullende beloning geeft om te 'bedanken voor het verbeteren van de beveiliging in het Google Play-ecosysteem'. Wat die aanvulling precies inhoudt, maakt Google niet bekend.
De beloning van het Google Play Security Reward-programma komt bovenop de beloning die hackers krijgen voor het melden van de kwetsbaarheid bij de ontwikkelaar van de app zelf. Veel van de deelnemende apps hebben ook een eigen bug-bountyprogramma op HackerOne.
Voorlopig komen alleen rce-kwetsbaarheden in aanmerking en hackers moeten daarbij een proof of concept laten zien die werkt op Android 4.4 of nieuwer. Hackers moeten via de kwetsbaarheid in de app code kunnen uitvoeren op het toestel van het slachtoffer zonder dat de gebruiker daar iets van zou merken of toestemming voor moet geven. Google meldt dat in de toekomst misschien ook andere kwetsbaarheden in aanmerking komen.
Het Google Play Rewards-programma staat los van het bug-bountyprogramma dat Google al heeft voor zijn eigen apps. Ook benadrukt Google dat hackers via het programma geen kwetsbaarheden moeten melden in apps die niet zijn aangesloten.
:strip_exif()/i/1263563744.gif?f=fpa)
:strip_exif()/i/2002606676.jpeg?f=fpa)
/i/1405520342.png?f=fpa)
:strip_exif()/i/1295879574.gif?f=fpa)
:strip_exif()/i/1398151713.jpeg?f=fpa)
/i/1380353962.png?f=fpa)
/i/2001005299.png?f=fpa)
/i/1355584269.png?f=fpa)
/i/2001279943.png?f=fpa)
:strip_exif()/i/2001426317.jpeg?f=fpa)
/i/2000630268.png?f=fpa)
:strip_exif()/i/1159803170.gif?f=fpa)
:strip_exif()/i/1149088707.gif?f=fpa)
:strip_icc():strip_exif()/u/14409/crop560ebcbcc3d04_cropped.jpeg?f=community){kind=small}
/u/727812/crop5c893c9ed11f9.png?f=community){kind=small}
:strip_icc():strip_exif()/u/480920/crop560beea971308_cropped.jpeg?f=community){kind=small}
/u/217510/crop660db19c1cf7b_cropped.png?f=community){kind=small}
:strip_icc():strip_exif()/u/126274/avas.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/383145/MLP%2520fluttershy-forum.jpg?f=community){kind=small}
/u/16450/icon06.png?f=community){kind=small}
/u/411828/crop576907a75c281.png?f=community){kind=small}
gelukkig is het een extraatje bovenop bestaande bounties van ontwikkelaars.
/u/482079/avatar.png?f=community){kind=avatar}
:strip_exif()/u/19153/e.gif?f=community){kind=small}
:strip_icc():strip_exif()/u/754191/crop57a8398861ed8_cropped.jpeg?f=community){kind=small}
:strip_icc():strip_exif()/u/379464/crop5aa19fab1f77b_cropped.jpeg?f=community){kind=small}
:strip_icc():strip_exif()/u/211605/Cat.jpg?f=community){kind=small}