如何通过发现Android应用中的安全问题来赚钱

如果您是一位负责解决安全问题的Android应用开发者,则可以通过向Google借用自己的技能来获得报酬。黑客已经设法在Google Play商店中植入了受恶意软件感染的应用程序,其中一些应用程序获得了数百万的下载量。

作为回应,谷歌开放了其漏洞赏金计划,使开发人员可以挖掘常见的安全问题。应用。以前只涵盖了少数几个应用程序。现在,所有流行的Play商店应用都是该程序的一部分。该计划为发现并报告安全问题的开发人员提供现金奖励。

为什么Google拥有Bug赏金计划

Google长期以来一直为自己的应用提供Bug赏金计划时间。与许多公司一样,Google向在其网站上发现问题的开发人员提供奖励。它还会为发现其Chrome浏览器或Chrome操作系统的错误提供奖励。但是最近,它又采取了更激进的步骤,即为其他公司的应用中发现的错误提供奖励。

Play Store错误赏金计划的第一版仅适用于极少数的顶级应用。现在,Google已将该程序扩展为涵盖Play商店中安装了1亿多个应用的​​所有应用。这意味着,即使应用程序开发人员未提供自己的漏洞赏金计划,漏洞发现者也有更多机会在Play商店应用中发现问题并获得回报,从而获得回报。

Google表示已引入该计划旨在“鼓励社区帮助我们改善每个人的安全性"。因此,它鼓励确实发现错误的Bug猎人将其报告给应用程序开发人员以及Google。这为原始应用程序开发人员提供了快速修复该错误的机会。

如何参与Bug赏金计划

Play Store错误赏金计划称为Google Play安全奖励计划。 (GPSRP)。 Google邀请安全研究人员和应用开发人员参加。第一步是填写一个应用程序以加入该程序。获得批准后,您可以在Play商店的任何合格应用程序中查找安全问题。

参与者需要寻找三种类型的漏洞。首先,远程执行代码漏洞是允许黑客访问用户的设备并进行更改的漏洞。这些都是非常严重的安全问题。

其次,还有不安全的私人数据被盗的问题。在这里,漏洞使黑客可以窃取个人信息,例如登录信息,网络历史记录或联系人列表。

第三,可以访问受保护的应用程序组件。这是指执行未经许可的功能的应用程序。例如,一个即使没有用户许可即发送SMS消息的应用程序。

该程序未涵盖某些安全问题。例如,网络钓鱼攻击虽然有潜在危险,但没有资格。这是因为它们通过欺骗用户而不是通过运行恶意代码来工作。该程序也不涵盖需要物理访问设备的攻击。<​​

一旦发现错误,则应与应用程序的开发人员联系以告知他们。然后,您可以与开发人员一起解决此问题。漏洞解决后,您可以从Google索取现金奖励。它正试图打击那些窃取用户数据的应用程序。最近,该公司启动了其开发人员数据保护奖励计划(DDPRP),该奖励计划为发现应用程序滥用数据的开发人员提供了类似的奖励。

该程序正在寻找的数据滥用类型包括收集和使用应用程序的应用程序。以违反Google隐私政策的方式出售用户数据。例如,这可能是一个从用户的通讯录中收集数据的应用程序,例如显示用户呼叫者和呼叫时间的元数据,而没有将其作为敏感数据进行保护。

它还将涵盖违反权限规则的应用程序,例如可以访问SMS权限但使用该应用程序收集有关用户SMS消息的数据以出售给第三方的应用。另外,它涵盖了一个应用程序,该应用程序请求访问联系人数据的权限,然后将该数据重新用于一个不相关的应用程序。

要查看有关哪些类型的数据滥用完全适合该程序的详细信息,您可以在DDPRP网站上查找。与漏洞悬赏计划一样,Play商店中任何安装了1亿个以上的应用程序都可以使用。

发现漏洞的奖励

有现金奖励可用于错误赏金和数据滥用程序。一份报告的支付额取决于问题的严重性。这还取决于提交给Google的报告的质量。

对于Google Play安全奖励计划,奖励为远程执行代码错误的费用从5,000美元到20,000美元,对于盗窃不安全的私人数据的奖励从1,000美元到3,000美元不等。 ,以及从1,000美元到3,000美元的访问权限,以访问受保护的应用程序组件。此外,以负责任的方式向应用程序开发人员披露漏洞还有很多好处。

“开发人员数据保护奖励计划"的奖励从100美元到1000美元不等。要领取奖励,您需要提交报告。您应该写出有关违反哪些数据策略,如何滥用数据以及应用程序违反策略的时间的信息。

通过搜索安全漏洞获取现金

Google的错误赏金和数据滥用赏金计划使您有机会赚钱。它们还可以帮助您提高通过Play商店分发的应用的安全性。如果您对更多的Bug搜索机会感兴趣,也可以查看其他公司的程序。有关示例,请参阅我们的真棒赏金计划列表,以赚取零花钱。

标签: Android Bug赏金 道德黑客 Google Play