Werbung
Wenn Sie ein Android-App-Entwickler sind, der Sicherheitsprobleme aufspürt, können Sie dafür bezahlt werden, dass Sie Ihre Fähigkeiten an Google ausgeliehen haben. Hacker haben es geschafft, mit Malware infizierte Apps in den Google Play Store zu stellen, von denen einige Millionen Downloads erhielten.
Als Reaktion darauf hat Google sein Bug-Bounty-Programm geöffnet, mit dem Entwickler in gängigen Apps nach Sicherheitsproblemen suchen können. Bisher wurden nur wenige Apps behandelt. Jetzt sind alle beliebten Play Store-Apps Teil des Programms. Das Programm zahlt Geldprämien für Entwickler aus, die Sicherheitsprobleme finden und melden.
Warum Google ein Bug Bounty-Programm hat
Google hat seit langer Zeit ein Bug-Bounty-Programm für seine eigenen Apps. Wie viele Unternehmen auch Google bietet Belohnungen für Entwickler, die Probleme auf ihren Websites aufdecken Google zahlt Ihnen mehr als 100 US-Dollar, wenn Sie ihnen nur helfenGoogle hat regulären Nutzern Hunderttausende von Dollar für eine einfache Sache ausgezahlt. Weiterlesen
. Es bietet auch Belohnungen für das Auffinden von Fehlern im Chrome-Browser oder im Chrome-Betriebssystem. In letzter Zeit wurde jedoch der radikalere Schritt unternommen, Belohnungen für Fehler anzubieten, die auch in den Apps anderer Unternehmen gefunden wurden.Die erste Iteration des Bug Bounty-Programms für den Play Store galt nur für eine sehr kleine Anzahl von Top-Apps. Jetzt hat Google das Programm erweitert, um jede App im Play Store mit mehr als 100 Millionen Installationen abzudecken. Dies bedeutet, dass es für Bug-Jäger viel mehr Möglichkeiten gibt, Probleme in Play Store-Apps zu entdecken und werden für die Meldung belohnt, auch wenn die App-Entwickler keine eigene Fehlerprämie anbieten Programme.
Google hat dieses Programm in der Hoffnung eingeführt, "die Community zu ermutigen, die Sicherheit für alle zu verbessern". Daher werden Fehlerjäger, die einen Fehler entdecken, dazu ermutigt, ihn sowohl den App-Entwicklern als auch Google zu melden. Dies gibt den ursprünglichen App-Entwicklern die Möglichkeit, den Fehler schnell zu beheben. Und das bedeutet mehr Sicherheit für alle, die Android-Apps verwenden.
So beteiligen Sie sich am Bug Bounty-Programm
Das Play Store Bug Bounty-Schema heißt Google Play Sicherheitsbelohnungsprogramm (GPSRP). Google lädt Sicherheitsforscher und App-Entwickler zur Teilnahme ein. Der erste Schritt ist das Ausfüllen eines Anwendung dem Programm beitreten. Sie können in jeder berechtigten App im Play Store nach Sicherheitsproblemen suchen, sobald Sie genehmigt wurden.
Es gibt drei Arten von Sicherheitslücken, nach denen die Teilnehmer suchen. Erstens sind Sicherheitslücken bei der Remotecodeausführung solche, die es einem Hacker ermöglichen, auf das Gerät eines Benutzers zuzugreifen und Änderungen vorzunehmen. Dies sind sehr schwerwiegende Sicherheitsprobleme.
Zweitens gibt es das Problem des Diebstahls unsicherer privater Daten. Hier kann ein Hacker aufgrund einer Sicherheitsanfälligkeit persönliche Informationen wie Anmeldeinformationen, Webprotokoll oder Kontaktlisten stehlen.
Drittens besteht Zugriff auf geschützte App-Komponenten. Dies bezieht sich auf Apps, die Funktionen ausführen, für die sie keine Berechtigung haben. Zum Beispiel eine App, die SMS-Nachrichten sendet, auch wenn der Benutzer keine Berechtigung dazu hat.
Das Programm behandelt einige Sicherheitsprobleme nicht. Beispielsweise sind Phishing-Angriffe zwar potenziell gefährlich, jedoch nicht qualifiziert. Dies liegt daran, dass sie den Benutzer täuschen und keinen schädlichen Code ausführen. Das Programm deckt auch keine Angriffe ab, die physischen Zugriff auf ein Gerät erfordern.
Sobald Sie einen Fehler entdeckt haben, sollten Sie sich an den Entwickler der App wenden, um ihn zu informieren. Anschließend können Sie mit dem Entwickler zusammenarbeiten, um das Problem zu beheben. Sobald die Sicherheitsanfälligkeit behoben wurde, können Sie Ihre Geldprämie bei Google einfordern.
Verdienen Sie Prämien für die Aufdeckung von Datenmissbrauch durch Apps
Google bietet nicht nur Belohnungen für das Auffinden von Sicherheitslücken. Es wird versucht, gegen Apps vorzugehen, die auch Benutzerdaten stehlen. Vor kurzem startete das Unternehmen seine Belohnungsprogramm für Entwicklerdatenschutz (DDPRP) bietet Entwicklern, die Datenmissbrauch durch Apps aufdecken, ähnliche Belohnungen.
Die Arten von Datenmissbrauch, nach denen das Programm sucht, sind Apps, die Benutzerdaten auf eine Weise sammeln und verkaufen, die gegen die Datenschutzrichtlinien von Google verstößt. Dies kann beispielsweise eine App sein, die Daten aus den Kontaktbüchern der Benutzer sammelt, z. B. Metadaten, aus denen hervorgeht, wen sie wann angerufen haben, ohne diese als vertrauliche Daten zu schützen.
Es würde auch Apps abdecken, die gegen Berechtigungsregeln verstoßen, z. B. eine App, die Zugriff hat zu SMS-Berechtigungen, verwendet diese jedoch, um Daten über die SMS-Nachrichten der Benutzer zu sammeln und diese an Dritte weiterzugeben Parteien. Alternativ würde es eine App abdecken, die um Erlaubnis zum Zugriff auf Kontaktdaten bittet und diese Daten dann für eine nicht verwandte App wiederverwendet.
Weitere Informationen darüber, welche Arten von Datenmissbrauch für das Programm in Frage kommen, finden Sie unter DDPRP-Website. Wie beim Bug Bounty-Programm ist jede App im Play Store mit mehr als 100 Millionen Installationen berechtigt.
Die angebotenen Belohnungen für die Entdeckung von Fehlern
Sowohl für die Bug Bounty- als auch für die Datenmissbrauchsprogramme werden Bargeldprämien angeboten. Der für einen Bericht ausgezahlte Betrag hängt von der Schwere des Problems ab. Dies hängt auch von der Qualität des an Google übermittelten Berichts ab.
Die Belohnungen für das Google Play Security Reward-Programm liegen zwischen 5.000 und 20.000 US-Dollar für Fehler bei der Remotecodeausführung. von 1.000 bis 3.000 US-Dollar für den Diebstahl unsicherer privater Daten und von 1.000 bis 3.000 US-Dollar für den Zugriff auf geschützte Apps Komponenten. Darüber hinaus gibt es Boni für die verantwortungsvolle Offenlegung der Sicherheitslücken gegenüber den Apps-Entwicklern. Dies gibt den Entwicklern die Möglichkeit, das Problem zu beheben.
Die Belohnungen für das Developer Data Protection Reward-Programm liegen zwischen 100 und 1000 US-Dollar. Um die Belohnung zu erhalten, müssen Sie einen Bericht einreichen. Sie sollten Informationen darüber schreiben, welche Datenrichtlinie verletzt wurde, wie Daten missbraucht wurden und eine Liste der Zeiten, in denen die App gegen die Richtlinien verstoßen hat.
Verdienen Sie Geld, indem Sie Sicherheitslücken suchen
Mit den Bug-Bounty- und Data-Missbrauchs-Bounty-Programmen von Google können Sie Geld verdienen. Mit ihnen können Sie auch die Sicherheit von Apps verbessern, die über den Play Store verteilt werden. Wenn Sie an mehr Möglichkeiten zur Fehlersuche interessiert sind, können Sie sich auch die Programme anderer Unternehmen ansehen. Einige Beispiele finden Sie in unserer Liste von fantastische Bug-Bounty-Programme zum Verdienen von Taschengeld 25 fantastische "Bug Bounty" -Programme zum Verdienen von TaschengeldWenn Sie über Erfahrung mit Sicherheitsprotokollen verfügen, können Sie mit der Suche nach Fehlern in beliebten Apps und Websites zusätzliches Geld verdienen und mit einer Fehlerprämie belohnt werden. Hier sind die bestbezahlten Programme im Jahr 2016. Weiterlesen .
Georgina ist eine in Berlin lebende Wissenschafts- und Technologieautorin mit einem Doktortitel in Psychologie. Wenn sie nicht schreibt, bastelt sie normalerweise an ihrem PC oder fährt Fahrrad, und Sie können mehr von ihrem Schreiben auf georginatorbet.com sehen.