Sådan tjener du kontanter ved at finde sikkerhedsproblemer i Android-apps
Reklame
Hvis du er en Android-appudvikler med en næse til at jage ned sikkerhedsproblemer, kan du få betalt for at låne dine evner til Google. Hackere har formået at plante malware-inficerede apps i Google Play Store, hvoraf nogle fik millioner af downloads.
Som svar har Google åbnet sit bug-bounty-program, der lader udviklere grave efter sikkerhedsproblemer i fælles apps. Tidligere var kun et par apps dækket. Nu er alle populære Play Store-apps en del af programmet. Programmet udbetaler kontante belønninger til udviklere, der finder og rapporterer sikkerhedsproblemer.
Hvorfor Google har et Bug Bounty-program
Google har haft et bug-bounty-program til sine egne apps i lang tid. Ligesom mange virksomheder tilbyder Google belønninger til udviklere, der afslører problemer på dets websteder. Google betaler dig $ 100 +, hvis du bare hjælper dem. Google betaler dig $ 100 +, hvis du bare hjælper dem ud. Google har udbetalt hundreder af tusinder af dollars til regelmæssig brugere for at gøre en enkel ting. Læs mere . Det giver også fordele for at finde fejl i sin Chrome-browser eller sit Chrome-operativsystem. Men for nylig har det taget det mere radikale skridt med at tilbyde belønninger for bugs, der findes i andre virksomheders apps også.
Den første iteration af bugspilsprogrammet i Play Store anvendtes kun på et meget lille antal top-apps. Nu har Google udvidet programmet til at dække enhver app i Play Store med mere end 100 millioner installationer. Dette betyder, at der er mange flere muligheder for bugjægere til at opdage problemer i Play Store-apps og blive belønnet for at rapportere dem, selvom appudviklerne ikke tilbyder deres egne bug bounty-programmer.
Google siger, at det introducerede dette program i håb om "at tilskynde samfundet til at hjælpe os med at forbedre sikkerheden for alle". Derfor opfordrer det til bugjægere, der opdager en fejl til at rapportere det til appudviklerne såvel som til Google. Dette giver de originale appudviklere chancen for at rette fejlen hurtigt. Og det betyder bedre sikkerhed for alle, der bruger Android-apps.
Sådan involveres du i Bug Bounty-programmet
Play Store-bugbelønningssystemet kaldes Google Play Security Reward Program (GPSRP). Google inviterer sikkerhedsforskere og appudviklere til at deltage. Det første trin er at udfylde en ansøgning om at blive medlem af programmet. Du kan kigge efter sikkerhedsproblemer i en hvilken som helst kvalificeret app i Play Store, når du er godkendt.
Der er tre typer af sårbarheder, som deltagerne ser efter. For det første er sårbarheder med ekstern kodeudførelse dem, der giver en hacker adgang til en brugers enhed og foretage ændringer. Dette er meget alvorlige sikkerhedsspørgsmål.
For det andet er der spørgsmålet om tyveri af usikre private data. Det er her en sårbarhed giver en hacker mulighed for at stjæle personlige oplysninger såsom loginoplysninger, webhistorik eller kontaktlister.
For det tredje er der adgang til beskyttede appkomponenter. Dette henviser til apps, der udfører funktioner, som de ikke har tilladelse til. F.eks. En app, der sender SMS-beskeder, selvom den ikke har tilladelse fra brugeren til at gøre det.
Programmet dækker ikke nogle sikkerhedsproblemer. For eksempel er phishing-angreb, selv om de potentielt farlige, ikke kvalificerede. Dette skyldes, at de fungerer ved at narre brugeren og ikke ved at køre ondsindet kode. Programmet dækker heller ikke angreb, der kræver fysisk adgang til en enhed.
Når du har fundet en fejl, skal du kontakte appens udvikler for at fortælle dem det. Derefter kan du arbejde sammen med udvikleren for at løse problemet. Når sårbarheden er løst, kan du kræve din kontante belønning fra Google.
Optjen vederlag for at opdage misbrug af data med apps
Google tilbyder ikke kun belønning for at finde sikkerhedsfejl. Det forsøger at slå ned på apps, der også stjæler brugerdata. For nylig lancerede virksomheden sit Developer Data Protection Reward Program (DDPRP), der tilbyder lignende belønninger for udviklere, der afslører misbrug af data ved hjælp af apps.
De typer misbrug af data, som programmet er på udkig efter, er apps, der indsamler og sælger brugerdata på en måde, der strider mod Googles privatlivspolitik. For eksempel kan dette være en app, der indsamler data fra brugernes kontaktbøger såsom metadata, der viser, hvem de kaldte og hvornår, uden at beskytte dette som følsomme data.
Det dækker også apps, der overtræder regler om tilladelser, såsom en app, der har adgang til SMS-tilladelser, men bruger dette til at indsamle data om brugernes SMS-beskeder til at sælge videre til tredjepart. Alternativt dækker det en app, der beder om tilladelse til at få adgang til kontaktdata og derefter genbruge disse data for en ikke-relateret app.
For at se flere detaljer om nøjagtigt, hvilke typer af misbrug af data, der er kvalificerede til programmet, kan du se på DDPRP-webstedet. Som med bug-bounty-programmet, er enhver app i Play Store med mere end 100 millioner installationer kvalificeret.
De belønninger, der tilbydes for at opdage fejl
Der er kontante belønninger, der tilbydes for både bugbelønningen og programmene for misbrug af data. Det udbetalte beløb for en enkelt rapport afhænger af sværhedsgraden af problemet. Det afhænger også af kvaliteten af den rapport, der er sendt til Google.
Belønningen for Google Play Security Reward-programmet spænder fra $ 5.000 til $ 20.000 for bugsering af fjernkode, fra $ 1.000 til $ 3.000 for tyveri af usikre private data og fra $ 1.000 til $ 3.000 for adgang til beskyttede appkomponenter. Derudover er der bonus til at afsløre sårbarhederne til appsudviklerne på en ansvarlig måde. Dette giver udviklerne muligheden for at løse problemet.
Belønningen for Developer Data Protection Reward Program varierer fra $ 100 til $ 1000. For at kræve belønningen skal du indsende en rapport. Du skal skrive oplysninger om, hvilken datapolitik blev overtrådt, hvordan data blev misbrugt, og en liste over tidspunkter, hvor appen overtrådte politikkerne.
Tjen penge ved sikkerhedsmæssige sårbarheder med jagt
Googles bounty-programmer til fejl og datamisbrug giver dig mulighed for at tjene penge. De lader dig også hjælpe med at forbedre sikkerheden for apps, der distribueres via Play Store. Hvis du er interesseret i flere muligheder for bugjagt, kan du også tjekke andre selskabers programmer. For nogle eksempler, se vores liste over fantastiske bug-bounty-programmer til at tjene lommepenge 25 Awesome "Bug Bounty" -programmer til at tjene lommepenge 25 Awesome "Bug Bounty" -programmer til at tjene lommepenge Hvis du har ekspertise inden for sikkerhedsprotokoller, kan du lave nogle ekstra penge på jagt efter bugs i populære apps og websteder og blive belønnet med en bug-bounty. Her er de bedst betalte programmer i 2016. Læs mere.
Udforsk mere om: Android, Bug Bounty, Etisk hacking, Google Play.