Come guadagnare trovando problemi di sicurezza nelle applicazioni Android

Se sei uno sviluppatore di app Android in grado di individuare problemi di sicurezza, puoi guadagnare denaro mostrando il tuo talento a Google. Gli hacker hanno portato app infette da malware sul Google Play Store, alcune delle quali hanno avuto milioni di download.

In risposta a ciò, Google ha aperto un programma Bug Bounty (un programma di ricompensa per le vulnerabilità scoperte dagli utenti) che consente agli sviluppatori di individuare problemi di sicurezza in molte applicazioni popolari. In precedenza erano incluse solo poche app. Ora tutte le app più popolari del Play Store fanno parte del programma. Il programma paga premi in denaro agli sviluppatori che trovano e segnalano problemi di sicurezza.

Individuazione di problemi di sicurezza nelle applicazioni Android: la tua opportunità per guadagnare con Google

• Perché Google ha creato il programma Bug Bounty?
• Come partecipare al programma Bug Bounty?
• Guadagna premi rilevando l'abuso di dati da parte delle app stesse
• Qual è la ricompensa per aver trovato un bug specifico?

Perché Google ha creato il programma Bug Bounty?

Google ha da molto tempo un programma Bug Bounty per le proprie app. Come molte aziende, Google offre premi agli sviluppatori che scoprono problemi nei suoi siti web. L'azienda offre anche premi per la ricerca di bug nel browser Chrome o nel sistema operativo Chrome. Ma recentemente, Google ha fatto un ulteriore passo avanti, offrendo ricompense per i bug riscontrati anche nelle app di molte altre aziende.

Il primo passaggio del programma Bug Bounty del Play Store si applica solo a un numero molto limitato di app principali. Ora Google ha ampliato il programma per coprire qualsiasi app del Play Store con oltre 100 milioni di installazioni. Ciò significa che ci sono più opportunità per i cacciatori di bug di scoprire problemi nelle app del Play Store ed essere ricompensati per averli segnalati, anche se gli sviluppatori di app non offrono programmi di bug.

Google ha affermato di aver introdotto il programma di cui sopra nella speranza di incoraggiare la comunità a collaborare per migliorare la sicurezza per tutti. Pertanto, Google incoraggia i cacciatori di bug a scoprire i problemi e segnalarli agli sviluppatori di applicazioni e a Google. Ciò offre agli sviluppatori di app native l'opportunità di correggere rapidamente i bug. Ciò significa maggiore sicurezza per tutti coloro che utilizzano le app Android.

Come partecipare al programma Bug Bounty?

Il programma Bug Bounty sul Play Store si chiama Google Play Security Reward Program (GPSRP) . Google invita ricercatori nel campo della sicurezza e sviluppatori di applicazioni a partecipare. Il primo passo è compilare un modulo di domanda per aderire al programma. Puoi cercare i problemi di sicurezza in qualsiasi app idonea sul Play Store una volta approvata.

Esistono tre tipi di vulnerabilità che i partecipanti cercano. Innanzitutto, le vulnerabilità di esecuzione di codice in modalità remota sono vulnerabilità che consentono agli hacker di accedere al dispositivo di un utente e apportare modifiche. Questi sono problemi di sicurezza molto seri.

Il secondo è il problema del furto di dati privati ​​non protetti. È qui che una vulnerabilità consente agli hacker di rubare informazioni personali come credenziali di accesso, cronologia web o elenchi di contatti.

Il terzo è l'accesso ai componenti dell'applicazione protetta. Si riferisce alle applicazioni che eseguono funzioni per le quali non dispongono dell'autorizzazione. Ad esempio, un'applicazione invia messaggi SMS anche quando non dispone dell'autorizzazione dell'utente per farlo.

Il programma non copre alcuni problemi di sicurezza. Ad esempio, gli attacchi di phishing , sebbene potenzialmente molto pericolosi, non sono ammessi al programma. Il motivo è che operano frodando gli utenti e non eseguendo codice dannoso. Il programma inoltre non copre gli attacchi che richiedono l'accesso fisico al dispositivo.

Quando scopri un errore, dovresti contattare lo sviluppatore dell'app per informarlo. Puoi quindi collaborare con lo sviluppatore per risolvere il problema. Una volta risolta la vulnerabilità, puoi richiedere una ricompensa in denaro a Google.

Guadagna premi rilevando l'abuso di dati da parte delle app stesse

Google non offre solo premi per l'individuazione di bug di sicurezza. L'azienda sta anche cercando di "sopprimere" le applicazioni che rubano i dati degli utenti. Recentemente, la società ha lanciato il Developer Data Protection Reward Program (DDPRP) , che offre premi simili agli sviluppatori che scoprono un uso improprio dei dati da parte delle app.

I tipi di abuso di dati che il programma sta cercando sono app che raccolgono e vendono dati degli utenti in modi che vanno contro le politiche sulla privacy di Google. Ad esempio, potrebbe trattarsi di un'applicazione che raccoglie dati dalle rubriche degli utenti, come metadati su chi hanno chiamato e quando, senza essere protetti come dati sensibili, hanno avuto il raffreddore.

Il programma includerà anche app che violano le regole sulle autorizzazioni, come le app che hanno accesso agli SMS, ma li utilizzano per raccogliere dati sugli utenti SMS e venderli a terzi. Inoltre, include anche un'app che richiede l'autorizzazione per accedere ai dati di contatto e quindi riutilizzare tali dati per un'app non correlata.

Per visualizzare dettagli più precisi sui tipi di abuso di dati idonei per il programma, è possibile consultare il sito Web DDPRP . Come per il programma Bug Bounty, è idonea qualsiasi app sul Play Store con più di 100 milioni di installazioni.

Qual è la ricompensa per aver trovato un bug specifico?

Sono previsti premi in denaro assegnati sia nei programmi di rilevamento di bug che di abuso di dati. L'importo pagato per l'eventuale segnalazione dipende dalla gravità del problema. Dipende anche dalla qualità del report inviato a Google.

I premi per il programma Google Play Security Reward vanno da $ 5.000 a $ 20.000 per bug di esecuzione di codice in modalità remota, da $ 1.000 a $ 3.000 per furto di dati privati ​​non protetti e da $ 1.000 a $ 3.000 per l'accesso ai componenti. La parte dell'applicazione è protetta. Inoltre, sono previsti premi per il rilevamento delle vulnerabilità per gli sviluppatori di applicazioni responsabili. Ciò offre agli sviluppatori l'opportunità di risolvere il problema.

I premi del Programma di ricompensa per la protezione dei dati degli sviluppatori vanno da $ 100 a $ 1000. Per ricevere il premio è necessario inviare una segnalazione. Dovresti annotare chiaramente le informazioni su quali politiche sui dati sono state violate, come i dati sono stati abusati e un elenco del numero di volte in cui l'app ha violato le politiche.

I programmi di abuso dei dati e rilevamento degli errori di Google ti danno l'opportunità di guadagnare denaro. Ti consentono inoltre di contribuire a migliorare la sicurezza delle app distribuite tramite il Play Store. Se sei interessato a maggiori opportunità di caccia ai bug, puoi anche consultare i programmi di altre società.

Buona fortuna!