如果你是一个Android应用程序开发人员，对安全问题有敏锐的嗅觉，那么把你的技能借给谷歌就可以得到报酬。黑客们成功地在谷歌Play商店植入了被恶意软件感染的应用程序，其中一些应用程序获得了数百万次下载。

作为回应，谷歌已经开放了它的bug赏金计划，让开发者在普通应用中挖掘安全问题。以前只覆盖了少数应用程序。现在，所有流行的游戏商店应用程序都是该计划的一部分。该计划为发现并报告安全问题的开发人员支付现金奖励。

为什么谷歌有一个bug赏金计划

很长一段时间以来，谷歌一直在为自己的应用程序提供bug奖励计划。与许多公司一样，谷歌也会奖励那些在其网站上发现问题的开发者。它还为在Chrome浏览器或Chrome操作系统中发现漏洞提供奖励。但最近它采取了更激进的措施，为其他公司应用程序中发现的漏洞提供奖励。

Play Store bug bounty程序的第一次迭代仅适用于极少数顶级应用程序。现在，谷歌已经将这个程序扩展到了Play Store中安装量超过1亿的任何应用程序。这意味着有更多的机会让bug搜寻者发现游戏商店应用程序中的问题，并因报告问题而获得奖励，即使应用程序开发人员不提供自己的bug奖励程序。

谷歌表示，推出这一计划是希望“鼓励社区帮助我们改善每个人的安全”。因此，它鼓励那些发现bug的bug猎人向应用程序开发者以及Google报告。这给了原始应用程序开发人员快速修复错误的机会。这意味着每个使用Android应用程序的人都有更好的安全性。

如何参与臭虫悬赏计划

游戏商店漏洞奖励计划被称为谷歌游戏安全奖励计划（GPSRP）。谷歌邀请安全研究人员和应用程序开发人员参与。第一步是填写申请表加入该计划。一旦获得批准，您可以在Play Store上的任何符合条件的应用程序中查找安全问题。

参与者需要寻找三种类型的漏洞。首先，远程代码执行漏洞是指允许黑客访问用户设备并进行更改的漏洞。这些都是非常严重的安全问题。

其次，存在着盗窃不安全私密数据的问题。这是一个漏洞允许黑客窃取个人信息，如登录信息、web历史记录或联系人列表。

第三，可以访问受保护的应用程序组件。这是指那些执行他们没有权限的功能的应用程序。例如，一个应用程序即使没有用户的许可也可以发送短信。

该计划不包括一些安全问题。例如，网络钓鱼攻击虽然具有潜在的危险性，但并不符合条件。这是因为它们的工作原理是欺骗用户，而不是运行恶意代码。该程序也不包括需要物理访问设备的攻击。

一旦你发现一个bug，你应该联系应用程序的开发者让他们知道。然后你可以和开发者一起解决这个问题。一旦漏洞被解决，你可以向谷歌申请现金奖励。

因发现应用程序滥用数据而获得奖金

谷歌不仅为发现安全漏洞提供奖励。它正试图打击窃取用户数据的应用程序。最近，该公司推出了开发人员数据保护奖励计划（DDPRP），为发现应用程序滥用数据的开发人员提供类似的奖励。

该程序正在寻找的数据滥用类型是收集和销售用户数据的应用程序，其方式违反了谷歌的隐私政策。例如，这可能是一个应用程序，它从用户的联系人簿中收集数据，比如元数据，显示他们打电话的人和时间，而不将其作为敏感数据进行保护。

它还将涵盖违反权限规则的应用程序，例如有权访问SMS权限的应用程序，但使用该权限收集有关用户的SMS消息的数据，并将其**给第三方。或者，它将覆盖一个应用程序，该应用程序请求访问联系人数据的权限，然后将该数据重新用于一个不相关的应用程序。

要了解更多关于哪些类型的数据滥用符合该计划的详细信息，您可以访问DDPRP网站。与bug bounty计划一样，Play Store上任何安装量超过1亿的应用程序都是合格的。

发现bug的回报

对于bug赏金和数据滥用程序都有现金奖励。为任何一份报告支付的金额取决于问题的严重性。这还取决于提交给谷歌的报告的质量。

谷歌Play安全奖励计划的奖励范围为：远程代码执行漏洞奖励5000至20000美元，窃取不安全私人数据奖励1000至3000美元，访问受保护的应用程序组件奖励1000至3000美元。此外，以负责任的方式向应用程序开发人员披露这些漏洞也有好处。这给了开发人员解决问题的机会。

开发人员数据保护奖励计划的奖励范围从100美元到1000美元不等。要申请奖励，你需要提交一份报告。您应该写下哪些数据策略被违反、数据如何被滥用以及应用程序违反策略的时间列表。

通过搜寻安全漏洞赚取现金

谷歌的漏洞赏金和数据滥用赏金计划给你赚钱的机会。它们还可以帮助您提高通过Play Store分发的应用程序的安全性。如果你对更多的bug搜索机会感兴趣，你也可以查看其他公司的程序。一些例子，请看我们的清单可怕的臭虫赏金计划赚取零花钱。