Hur man tjänar pengar genom att hitta säkerhetsproblem i Android-appar
Annons
Om du är en Android-apputvecklare med en näsa för att jaga upp säkerhetsproblem kan du få betalt för att låna dina färdigheter till Google. Hackare har lyckats plantera program som är infekterade med skadlig kod i Google Play Store, av vilka några har fått miljoner nedladdningar.
Som svar har Google öppnat sitt bounty-program som låter utvecklare gräva efter säkerhetsproblem i vanliga appar. Tidigare täcktes bara några appar. Nu är alla populära Play Store-appar en del av programmet. Programmet betalar ut kontanta belöningar för utvecklare som hittar och rapporterar säkerhetsproblem.
Varför Google har ett Bug Bounty-program
Google har haft ett bounty-program för sina egna appar under lång tid. Liksom många företag erbjuder Google belöningar till utvecklare som upptäcker problem på sina webbplatser. Google betalar dig 100 $ + om du bara hjälper dem. Google betalar dig 100 $ + om du bara hjälper dem ut Google har betalat ut hundratusentals dollar till regelbundet användare för att göra en enkel sak. Läs mer . Det erbjuder också belöningar för att hitta buggar i sin Chrome-webbläsare eller sitt Chrome-operativsystem. Men nyligen har det tagit det mer radikala steget att erbjuda belöningar för buggar som finns i andra företags appar också.
Den första iterationen av bountyprogrammet i Play Store gällde endast på ett mycket litet antal toppappar. Nu har Google utvidgat programmet till att täcka alla appar i Play Store med mer än 100 miljoner installationer. Det innebär att det finns många fler möjligheter för buggjägare att upptäcka problem i Play Store-appar och få belöningar för att rapportera dem, även om apputvecklarna inte erbjuder sina egna bounty-program.
Google säger att det introducerade detta program i hopp om att "uppmuntra samhället att hjälpa oss att förbättra säkerheten för alla". Därför uppmuntrar det bugjägare som upptäcker ett fel att rapportera det till apputvecklarna och till Google. Detta ger de ursprungliga apputvecklarna chansen att fixa felet snabbt. Och det betyder bättre säkerhet för alla som använder Android-appar.
Hur man engagerar sig i Bug Bounty-programmet
Bounty-schema för Play Store kallas Google Play Security Reward Program (GPSRP). Google inbjuder säkerhetsforskare och apputvecklare att delta. Det första steget är att fylla i en ansökan för att gå med i programmet. Du kan leta efter säkerhetsproblem i valbar app i Play Store när du har godkänts.
Det finns tre typer av sårbarheter som deltagarna letar efter. För det första är sårbarheter med exekvering av extern kod de som gör det möjligt för en hacker att komma åt användarens enhet och göra ändringar. Det här är mycket allvarliga säkerhetsfrågor.
För det andra är det frågan om stöld av osäkra privata uppgifter. Det är här som en sårbarhet tillåter en hackare att stjäla personlig information som inloggningsinformation, webbhistorik eller kontaktlistor.
För det tredje finns det åtkomst till skyddade appkomponenter. Detta avser appar som utför funktioner som de inte har tillstånd för. Till exempel en app som skickar SMS, även om den inte har behörighet från användaren att göra det.
Programmet täcker inte vissa säkerhetsproblem. Exempelvis är phishing-attacker, även om de är potentiellt farliga, inte kvalificerade. Detta beror på att de fungerar genom att lura användaren och inte genom att köra skadlig kod. Programmet täcker inte heller attacker som kräver fysisk åtkomst till en enhet.
När du har upptäckt ett fel ska du kontakta appens utvecklare för att meddela dem. Då kan du arbeta tillsammans med utvecklaren för att lösa problemet. När sårbarheten har lösts kan du kräva din kontant belöning från Google.
Tjäna belöningar för att upptäcka datamissbruk av appar
Google erbjuder inte bara belöningar för att hitta säkerhetsfel. Den försöker slå ner appar som också stjäl användardata. Nyligen lanserade företaget sitt Developer Data Protection Reward Program (DDPRP) som erbjuder liknande belöningar för utvecklare som upptäcker datamissbruk av appar.
De typer av datamissbruk som programmet letar efter är appar som samlar in och säljer användardata på ett sätt som strider mot Googles sekretesspolicy. Till exempel kan detta vara en app som samlar in data från användarnas kontaktböcker som metadata som visar vem de ringde och när, utan att skydda detta som känslig information.
Det skulle också täcka appar som bryter mot regler om behörigheter, till exempel en app som har tillgång till SMS-behörigheter, men använder detta för att samla in data om användarnas SMS-meddelanden för att sälja till tredje part. Alternativt skulle det täcka en app som ber om tillåtelse att få åtkomst till kontaktdata och sedan återanvända den informationen för en icke-relaterad app.
För att se mer information om exakt vilken typ av datamissbruk som kvalificerar sig för programmet kan du titta på DDPRP-webbplatsen. Liksom med bounty-programmet är valfri app i Play Store med mer än 100 miljoner installationer kvalificerad.
De belöningar som erbjuds för att upptäcka buggar
Det finns kontanta belöningar för både buggubben och programmen för missbruk av data. Det belopp som betalas ut för en rapport beror på svårighetsgraden av frågan. Det beror också på kvaliteten på rapporten som skickas till Google.
Belöningen för Google Play Security Reward-programmet sträcker sig från $ 5000 till $ 20 000 för exekveringsfel för exekvering av kod, från $ 1 000 till 3 000 för stöld av osäkra privata data och från $ 1 000 till 3 000 för åtkomst till skyddade appkomponenter. Dessutom finns det bonusar för att avslöja sårbarheterna för apputvecklarna på ett ansvarsfullt sätt. Detta ger utvecklarna möjlighet att korrigera problemet.
Belöningen för utvecklingsdataskyddet belöningsprogram sträcker sig från $ 100 till $ 1000. För att kräva belöningen måste du skicka in en rapport. Du bör skriva information om vilken datapolicy har kränkts, hur data missbrukades och en lista över tider då appen bröt mot policyn.
Tjäna pengar genom att jaga säkerhetsproblem
Googles bounty-program för fel och datamissbruk ger dig chansen att tjäna pengar. De låter dig också hjälpa till att förbättra säkerheten för appar som distribueras via Play Store. Om du är intresserad av fler buggjaktmöjligheter kan du också kolla in andra företags program. För några exempel, se vår lista över fantastiska buggountprogram för att tjäna fickpengar 25 Fantastiska "Bug Bounty" -program för att tjäna fickpengar 25 Fantastiska "Bug Bounty" -program för att tjäna fickpengar Om du har expertis inom säkerhetsprotokoll kan du göra några extra pengar på jakt efter buggar i populära appar och webbplatser och belönas med en buggubb. Här är de bäst betalda programmen 2016. Läs mer.
Utforska mer om: Android, Bug Bounty, etisk hackning, Google Play.