22.10.2017 14:51
alizar 7 11500 Источник
Google запустила на платформе HackerOne новую программу оплаты за найденные уязвимости Google Play Security Reward. Компания давно платит крупные суммы за уязвимости, найденные в её продуктах. Но впервые она решила заплатить за баги, найденные в чужих приложениях. Правда, сумма не слишком большая: всего $1000, но зато и уязвимости найти гораздо проще, чем в программах самой Google.

Оплачиваются баги в 13 популярных Android-приложениях, в том числе в пяти приложениях от российской компании Mail.Ru:

  • Alibaba (com.alibaba.aliexpresshd)
  • Dropbox (com.dropbox.android, com.dropbox.paper)
  • Duolingo (com.duolingo)
  • Headspace (com.getsomeheadspace.android)
  • Line (jp.naver.line.android)
  • Mail.Ru (ru.mail.cloud, ru.mail.auth.totp, ru.mail.mailapp, com.my.mail, ru.mail.calendar)
  • Snapchat (com.snapchat.android)
  • Tinder (com.tinder)

Со временем список может пополниться, сообщает Google, так что проверяйте его периодически.

Система работает следующим образом. После обнаружения уязвимости хакер должен сообщить о ней напрямую разработчику согласно правилам, установленным разработчиком. Когда тот закроет баг, то можно в течение 90 дней подать заявку на получение вознаграждения по программе Google Play Security Reward.

Тысяча долларов от Google станет дополнительным бонусом к тому вознаграждению, которое хакер получит от разработчика, если у него действует платная система вознаграждений. Например, компания Mail.Ru платит до $7000 за качественные дыры. Отдельные программы предусмотрены для приложений «ВКонтакте» и «Одноклассников».

К участию в программе Google приглашает разработчиков, которые выразили намерение закрывать баги, которые получат от участников Google Play Security Reward.

Пока что оплачиваются только уязвимости типа RCE (удалённое исполнение кода), когда злоумышленник может изменить UI для совершения транзакции или получить полный контроль над приложением, чтобы скачать код со стороннего сервера, или открыть в приложении экран, допускающий проведение фишинговых атак. Не оплачиваются уязвимости, для эксплуатации которых на устройстве должна быть установлена какая-то другая конкретная программа.

Кроме перечисленных 13 программ, разумеется, Google платит за уязвимости в собственных приложениях. И там сумма вознаграждения достигает $31 337 за удалённое исполнение кода.

Комментарии (7)


  1. perfect_genius
    22.10.2017 20:26
    #10399655

    Что мешает разработчикам умышленно оставлять дыры и потом получать деньги через третьих лиц?


    1. izzholtik
      22.10.2017 21:04
      #10399697

      Смехотворность выплат относительно потраченных на приложение денег, например.


      1. immaculate
        22.10.2017 21:11
        #10399703

        Дыру может оставить рядовой разработчик. Для компании деньги смехотворные, для разработчика — весомая прибавка к зарплате.


        1. pesh1983
          22.10.2017 21:50
          #10399761

          Я думаю, в компаниях с нормальными техпроцессами как минимум код ревью может поставить под сомнение такую затею. Нельзя исключать и сговор между разработчиками) Но это уже сложнее)


        1. KivApple
          22.10.2017 21:58
          #10399777

          Для разработчиков из Гугла, даже рядовых, прибавка к зарплате не настолько высокая, чтобы рисковать из-за этого решиться работы.


          1. tmin10
            23.10.2017 00:13
            #10399913

            Разработчиком этих приложений. Разработчики гугла отношения к сторонним приложениям не имеют


        1. amarao
          23.10.2017 12:15
          #10400487
          +1

          В момент фикса бага будет git blame на код. И если будет видно, что уязвимость явно добавили в нерелевантный коммит, то такой человек потеряет работу (и, вероятнее всего, не получит даже этой тысячи).

          А добавить уязвимость «случайно» — mad skill, обладатели которого точно не будут размениваться на «тыщу от гугла».