Google доплатит за взлом 13 приложений в Play Store

alizar 22 октября в 17:51 12,1k
Google запустила на платформе HackerOne новую программу оплаты за найденные уязвимости Google Play Security Reward. Компания давно платит крупные суммы за уязвимости, найденные в её продуктах. Но впервые она решила заплатить за баги, найденные в чужих приложениях. Правда, сумма не слишком большая: всего $1000, но зато и уязвимости найти гораздо проще, чем в программах самой Google.

Оплачиваются баги в 13 популярных Android-приложениях, в том числе в пяти приложениях от российской компании Mail.Ru:

  • Alibaba (com.alibaba.aliexpresshd)
  • Dropbox (com.dropbox.android, com.dropbox.paper)
  • Duolingo (com.duolingo)
  • Headspace (com.getsomeheadspace.android)
  • Line (jp.naver.line.android)
  • Mail.Ru (ru.mail.cloud, ru.mail.auth.totp, ru.mail.mailapp, com.my.mail, ru.mail.calendar)
  • Snapchat (com.snapchat.android)
  • Tinder (com.tinder)

Со временем список может пополниться, сообщает Google, так что проверяйте его периодически.

Система работает следующим образом. После обнаружения уязвимости хакер должен сообщить о ней напрямую разработчику согласно правилам, установленным разработчиком. Когда тот закроет баг, то можно в течение 90 дней подать заявку на получение вознаграждения по программе Google Play Security Reward.

Тысяча долларов от Google станет дополнительным бонусом к тому вознаграждению, которое хакер получит от разработчика, если у него действует платная система вознаграждений. Например, компания Mail.Ru платит до $7000 за качественные дыры. Отдельные программы предусмотрены для приложений «ВКонтакте» и «Одноклассников».

К участию в программе Google приглашает разработчиков, которые выразили намерение закрывать баги, которые получат от участников Google Play Security Reward.

Пока что оплачиваются только уязвимости типа RCE (удалённое исполнение кода), когда злоумышленник может изменить UI для совершения транзакции или получить полный контроль над приложением, чтобы скачать код со стороннего сервера, или открыть в приложении экран, допускающий проведение фишинговых атак. Не оплачиваются уязвимости, для эксплуатации которых на устройстве должна быть установлена какая-то другая конкретная программа.

Кроме перечисленных 13 программ, разумеется, Google платит за уязвимости в собственных приложениях. И там сумма вознаграждения достигает $31 337 за удалённое исполнение кода.
Проголосовать:
+16
Сохранить:
Лучшее на Habrahabr

 «Угнать за 60 секунд» на примере одного каршеринга

из песочницы
Valya-rollerсегодня в 11:34
24

Intel устранила найденную экспертами Positive Technologies уязвимость в подсистеме Management Engine

ptsecurityвчера в 18:51
21

Обзор программы Heisenbug 2017 Moscow: сколько нужно тестировщиков, чтобы запустить тесты на атомной электростанции?

olegchirвчера в 17:14
1

Новая многообещающая методология разработки, которую уже назвали «убийцей Agile»*

botyaslonimсегодня в 14:30
6

Выпуск Rust 1.22 (и 1.22.1)

перевод
ozkriffсегодня в 06:19
4

Данные из Google Таблиц на вашем сайте

tutorial
dkomarovskiyсегодня в 11:09
9

Трёхмерная графика с нуля. Часть 2: растеризация

перевод
PatientZeroсегодня в 11:38
2

Развитие стратегий устойчивости

перевод
AloneCoderсегодня в 13:11
0

Черная пятница айтишника, или Сказ о потере данных

JetHabrсегодня в 15:02
3

HPE ProLiant for Microsoft Azure Stack: частичка облака Azure под вашим полным контролем

Tiggerсегодня в 07:40
2