如果你是一個Android應用程序開發人員,對安全問題有敏銳的嗅覺,那麼把你的技能借給谷歌就可以得到報酬。黑客們成功地在谷歌Play商店植入了被惡意軟件感染的應用程序,其中一些應用程序獲得了數百萬次下載。
作為迴應,谷歌已經開放了它的bug賞金計劃,讓開發者在普通應用中挖掘安全問題。以前只覆蓋了少數應用程序。現在,所有流行的遊戲商店應用程序都是該計劃的一部分。該計劃為發現並報告安全問題的開發人員支付現金獎勵。
很長一段時間以來,谷歌一直在為自己的應用程序提供bug獎勵計劃。與許多公司一樣,谷歌也會獎勵那些在其網站上發現問題的開發者。它還為在Chrome瀏覽器或Chrome操作系統中發現漏洞提供獎勵。但最近它採取了更激進的措施,為其他公司應用程序中發現的漏洞提供獎勵。
Play Store bug bounty程序的第一次迭代僅適用於極少數頂級應用程序。現在,谷歌已經將這個程序擴展到了Play Store中安裝量超過1億的任何應用程序。這意味著有更多的機會讓bug搜尋者發現遊戲商店應用程序中的問題,並因報告問題而獲得獎勵,即使應用程序開發人員不提供自己的bug獎勵程序。
谷歌表示,推出這一計劃是希望“鼓勵社區幫助我們改善每個人的安全”。因此,它鼓勵那些發現bug的bug獵人嚮應用程序開發者以及Google報告。這給了原始應用程序開發人員快速修復錯誤的機會。這意味著每個使用Android應用程序的人都有更好的安全性。
遊戲商店漏洞獎勵計劃被稱為谷歌遊戲安全獎勵計劃(GPSRP)。谷歌邀請安全研究人員和應用程序開發人員參與。第一步是填寫申請表加入該計劃。一旦獲得批准,您可以在Play Store上的任何符合條件的應用程序中查找安全問題。
參與者需要尋找三種類型的漏洞。首先,遠程代碼執行漏洞是指允許黑客訪問用戶設備並進行更改的漏洞。這些都是非常嚴重的安全問題。
其次,存在著盜竊不安全私密數據的問題。這是一個漏洞允許黑客竊取個人信息,如登錄信息、web歷史記錄或聯繫人列表。
第三,可以訪問受保護的應用程序組件。這是指那些執行他們沒有權限的功能的應用程序。例如,一個應用程序即使沒有用戶的許可也可以發送短信。
該計劃不包括一些安全問題。例如,網絡釣魚攻擊雖然具有潛在的危險性,但並不符合條件。這是因為它們的工作原理是欺騙用戶,而不是運行惡意代碼。該程序也不包括需要物理訪問設備的攻擊。
一旦你發現一個bug,你應該聯繫應用程序的開發者讓他們知道。然後你可以和開發者一起解決這個問題。一旦漏洞被解決,你可以向谷歌申請現金獎勵。
谷歌不僅為發現安全漏洞提供獎勵。它正試圖打擊竊取用戶數據的應用程序。最近,該公司推出了開發人員數據保護獎勵計劃(DDPRP),為發現應用程序濫用數據的開發人員提供類似的獎勵。
該程序正在尋找的數據濫用類型是收集和銷售用戶數據的應用程序,其方式違反了谷歌的隱私政策。例如,這可能是一個應用程序,它從用戶的聯繫人簿中收集數據,比如元數據,顯示他們打電話的人和時間,而不將其作為敏感數據進行保護。
它還將涵蓋違反權限規則的應用程序,例如有權訪問SMS權限的應用程序,但使用該權限收集有關用戶的SMS消息的數據,並將其**給第三方。或者,它將覆蓋一個應用程序,該應用程序請求訪問聯繫人數據的權限,然後將該數據重新用於一個不相關的應用程序。
要了解更多關於哪些類型的數據濫用符合該計劃的詳細信息,您可以訪問DDPRP網站。與bug bounty計劃一樣,Play Store上任何安裝量超過1億的應用程序都是合格的。
對於bug賞金和數據濫用程序都有現金獎勵。為任何一份報告支付的金額取決於問題的嚴重性。這還取決於提交給谷歌的報告的質量。
谷歌Play安全獎勵計劃的獎勵範圍為:遠程代碼執行漏洞獎勵5000至20000美元,竊取不安全私人數據獎勵1000至3000美元,訪問受保護的應用程序組件獎勵1000至3000美元。此外,以負責任的方式嚮應用程序開發人員披露這些漏洞也有好處。這給了開發人員解決問題的機會。
開發人員數據保護獎勵計劃的獎勵範圍從100美元到1000美元不等。要申請獎勵,你需要提交一份報告。您應該寫下哪些數據策略被違反、數據如何被濫用以及應用程序違反策略的時間列表。
谷歌的漏洞賞金和數據濫用賞金計劃給你賺錢的機會。它們還可以幫助您提高通過Play Store分發的應用程序的安全性。如果你對更多的bug搜索機會感興趣,你也可以查看其他公司的程序。一些例子,請看我們的清單可怕的臭蟲賞金計劃賺取零花錢。
... 谷歌意見獎勵並不侷限於Android使用者。如果你擁有一部iPhone,你也可以安裝它,並從同樣的付費調查中獲益。請注意,如果您使用iPhone,您的PayPal帳戶將被記入貸方,而Android使用者將獲得記入其G...
如果我告訴你,你可以透過看Netflix或聽音樂來賺錢呢?其實有個辦法。像線上調查這樣簡單的事情可以增加你的應急基金。 ...
... 我們將重點介紹7款出色的iOS和Android應用程式,它們可以讓您輕鬆找到數字購物券,幫助您節省現金。 ...
...了各種應用程式和遊戲,它們有一個祕密功能:它們使用Android裝置的處理器來挖掘加密貨幣。 ...
...ter、Instagram等其他平臺獲得演唱會。然而,最重要的是你如何推銷自己並與客戶建立聯絡。 ...
Play Store中的假冒Android應用程式是一個問題。人們建立的列表看起來和流行的應用程式一模一樣,通常使用相同的圖示和名稱,誘使你下載它,然後用廣告(或者更糟的是,惡意軟體)轟炸你。 這個問題最近特別突出。去年有...