The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Google будет выплачивать премии за выявление уязвимостей в популярных Android-приложениях

29.08.2019 22:22

Компания Google объявила о расширении программы выплаты вознаграждений за поиск уязвимостей в приложениях из каталога Google Play. Если раньше программа охватывала только наиболее значительные специально отобранные приложения Google и партнёров, то отныне премии начнут выплачивать за обнаружение проблем с безопасностью в любых приложениях для платформы Android, которые были загружены из каталога Google Play более 100 млн раз. Размер премии за выявления уязвимости, которая может привести к удалённому выполнению кода, увеличена с 5 до 20 тысяч долларов, а за уязвимости, позволяющие получить доступ к данным или приватным компонентам приложения, - с 1 до 3 тысяч долларов.

Информация о найденных уязвимостях будет добавляться в инструментарий автоматизированного тестирования для выявления аналогичных проблем в других приложениях. Авторам проблемных приложений через Play Console будут отправляться уведомления с рекомендациями по устранению проблем. Утверждается, что в рамках уже действующей инициативы по повышению безопасности Android-приложений, помощь в устранении уязвимостей была оказана более 300 тысячам разработчиков и затронула более миллиона приложений в Google Play. Исследователям безопасности за поиск уязвимостей в Google Play выплачено 265 тысяч долларов, из которых 75 тысяч в июле и августе этого года.

Совместно с платформой HackerOne также запущена программа Developer Data Protection Reward Program (DDPRP), предусматривающая выплату вознаграждений за определение и содействие в блокировании проблем, связанных с злоупотреблениями доступом к данным пользователя (например, неавторизированный сбор и отправка данных) в приложениях для Android, проектах OAuth и дополнениях к Chrome, нарушающих правила использования Google Play, Google API и Chrome Web Store. Максимальный размер вознаграждения за выявления данного класса проблем определён в 50 тысяч долларов.

  1. Главная ссылка к новости (https://security.googleblog.co...)
  2. OpenNews: Европейская комиссия учредила вознаграждение за поиск ошибок и уязвимостей в СПО
  3. OpenNews: Вредоносный код в Android-приложении CamScanner, загруженном более 100 млн. раз
  4. OpenNews: Компания Intel представила программу выплаты вознаграждений за поиск уязвимостей
  5. OpenNews: Программа вознаграждений за выявление уязвимостей в открытом серверном ПО
  6. OpenNews: Google увеличил размер вознаграждений за выявление уязвимостей в Chrome, Chrome OS и Google Play
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/51387-bounties
Ключевые слова: bounties, google, android
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (27) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 22:37, 29/08/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Фарс.
     
  • 1.2, Аноним (2), 22:50, 29/08/2019 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • +/
     
  • 1.3, Аноним (3), 22:52, 29/08/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Заливайте свой трешак в гугел-помойку, а потом сами же на него жалуйтесь
     
     
  • 2.5, Аноним (5), 22:55, 29/08/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Надо чтобы этот трешак скачали более 100 млн. раз.
     
     
  • 3.6, Аноним (3), 22:58, 29/08/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Извините, не продумал.

    > Исследователям безопасности за поиск уязвимостей в Google Play выплачено 265 тысяч долларов, из которых 75 тысяч в июле и августе этого года.

    Боже, какие они оказывается жадные.

     
  • 3.25, опт (?), 10:18, 31/08/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Дарю идею: приложения для гей-поиска в окрестностях носителя телефона, с нескучными смайлами, комментариями и лайками!
     

  • 1.4, Аноним (4), 22:55, 29/08/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Вообще, неплохая идея про автотесты для таких популярных приложений. Лучше бы вообще для всех, даже с возможностью у себя развернуть, но это я размечтался.
     
  • 1.7, NO U (?), 22:59, 29/08/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Что мешает авторам таких приложений специально создавать такие уязвимости, а потом их "обнаруживать"?
     
     
  • 2.9, Аноним (9), 00:12, 30/08/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Цель поиск и закрытие любых возможных уязвимостей. Кто их создаст не имеет значения.
     
  • 2.12, Ordu (ok), 02:38, 30/08/2019 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Ничто. Такое бывало не раз. Этому даже дали специальное название "эффект кобры".

    https://ru.wikipedia.org/wiki/%D0%AD%D1%84%D1%84

     
  • 2.15, mumu (ok), 10:51, 30/08/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ничто. А вот параллельно штрафовать такую компанию было бы хорошей идеей. Это будет стимулировать её контролировать качество своего кода. Давно уже пора так делать.
    Гугл правда врядли осмелится, вся надежда на Евросоюз.
     

  • 1.8, Аноним (8), 23:31, 29/08/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Премии дарвина?

    Сами не смогут проверить свои дырявые apk?

     
  • 1.10, Аноним (10), 00:27, 30/08/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –14 +/
    Этой помойке уже ничего не поможет. Яблоко - выбор профессионалов, а не обезьян, сидящих на дырявых ведрах!
     
     
  • 2.11, Аноним (11), 00:40, 30/08/2019 [^] [^^] [^^^] [ответить]  
  • +7 +/
    > Яблоко - выбор профессионалов

    Не смешите.

     
  • 2.16, Аноний (?), 11:31, 30/08/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Профессионалов в чем? В тыканье в телефончик
     
  • 2.17, Аноним (-), 11:41, 30/08/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > профессионалов

    А профессионализм какой подразумевается? Высокий скилл владения указательным пальцем? Слоган типа: "Ещё вчера ты ковырялся этим пальцем в за@#$%ице, а теперь яблочный обменестратор"?

    Эх, потёмкинская деревня...

     
     
  • 3.23, Канифоль Патрика (?), 02:24, 31/08/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Это вам не ниграконшоль разрутованного в лоскуты ВедроСеятеля!
     
  • 2.18, Аноним (18), 11:42, 30/08/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Профессионалов, лол. Ну хорошо хоть на ipod, а то на этом вообще горы свернуть можно. Стоп, только не говорите мне, что музыкальный плеер и современный смартфон это средство потребления и развлечения, а не профессиональный инструмент.
     
  • 2.19, BodySome (?), 13:29, 30/08/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    https://googleprojectzero.blogspot.com/2019/08/a-very-deep-dive-into-ios-explo

    Там о пользователях знатно позаботились - даже устанавливать ничего не надо! Зашёл на вредоносный сайт - опа! - все твои данные уже в руках у какеров.

    А с андроидом да, одни мучения.

     
     
  • 3.22, Канифоль Патрика (?), 02:23, 31/08/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Earlier this year Google's Threat Analysis Group (TAG) discovered a small collection of hacked websites. The hacked sites were being used in indiscriminate watering hole attacks against their visitors, using iPhone 0-day.  
     

  • 1.13, user90 (?), 10:20, 30/08/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Интересно, а встроенные в приложения трояны тоже попадают в класс уязвимостей?
     
  • 1.14, mumu (ok), 10:48, 30/08/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Вы работаете в крупной конторе мелким программером, деплоите говнокод в их аппликухе и подумываете как заработать? Теперь у вас есть шанс! За ваш говнокод назначена премия!

    п.с. Адекватной мерой будет штраф компании с найденной уязвимостью на сумму x10-x100 от выплаченной премии. Для хорошей стимуляции.

     
  • 1.20, Аноним (20), 15:37, 30/08/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Помогите, пожалуйста, у меня плохо с арифметикой.

    Делю 265_000 (сумма вознаграждений) на 1_000_000 (приложений).
    Никак не получается 5000.

     
  • 1.21, Аноним (-), 16:37, 30/08/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Пусть Гугл сначала выложит исходники своих зондов. А посяля поговорим о выявлении у них уязвимостей.


    Гуглу не помогайте!

     
  • 1.24, Аноним (24), 05:41, 31/08/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    "молодец! премию получишь! без жуёв!"
     
  • 1.26, Аноним (26), 02:37, 01/09/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Лучше бы они платили за облегчение своего говнокода. Устройства с гигом оперативки отлично работают, пока там 16 сервис и 12 ютюб. Но они его обновляют без спроса. Я знаю что можно запретить, но что делать с медиаплеерами? Рут не поставишь. Похоже накачу линукс, благо он есть для этого устройства.
     
  • 1.27, Аноним (27), 12:19, 03/09/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Корпорации добра конечно же надо верить! Только если багрепорт по уязвимости будет не по форме которую нельзя получить не послав багрепорт то к тебе выезжают злые автоматчики на чорных вертолетах и автоматически вкатывается иск на оверстопятсот лямов и пожизненный электростул, ага.. лучше уж неспеша за скромные полбиткоена вонючкам на даркбирже втулить чортов сикретек и заниматься своими скромными делами. А даже если чудом все сделал правильно то тебе с барского стола конешн отсыпят крошек но поставят на карандаш и будут трахать мозг до конца жизни, мвхаха!
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру