Компания Google объявила (https://security.googleblog.com/2019/08/expanding-bug-bounti...) о расширении программы (https://hackerone.com/googleplay) выплаты вознаграждений за поиск уязвимостей в приложениях из каталога Google Play. Если раньше программа охватывала только наиболее значительные специально отобранные приложения Google и партнёров, то отныне премии начнут выплачивать за обнаружение проблем с безопасностью в любых приложениях для платформы Android, которые были загружены из каталога Google Play более 100 млн раз. Размер премии за выявления уязвимости, которая может привести к удалённому выполнению кода, увеличена с 5 до 20 тысяч долларов, а за уязвимости, позволяющие получить доступ к данным или приватным компонентам приложения, - с 1 до 3 тысяч долларов.Информация о найденных уязвимостях будет добавляться в инструментарий автоматизированного тестирования для выявления аналогичных проблем в других приложениях. Авторам проблемных приложений через Play Console (https://developer.android.com/google/play/asi) будут отправляться уведомления с рекомендациями по устранению проблем. Утверждается, что в рамках уже действующей инициативы по повышению безопасности Android-приложений, помощь в устранении уязвимостей была оказана более 300 тысячам разработчикам и затронула более миллиона приложений в Google Play. Исследователям безопасности за поиск уязвимостей в Google Play выплачено 265 тысяч долларов, из которых 75 тысяч в июле и августе этого года.
Совместно с платформой HackerOne также запущена программа Developer Data Protection Reward Program (https://hackerone.com/ddp_reward_program) (DDPRP), предусматривающая выплату вознаграждений за определение и содействие в блокировании проблем, связанных с злоупотреблениями доступом к данным пользователя (например, неавторизированный сбор и отправка данных) в приложениях для Android, проектах OAuth и дополнениях к Chrome, нарушающих правила использования Google Play, Google API и Chrome Web Store.
Максимальный размер вознаграждения за выявления данного класса проблем определён в 50 тысяч долларов.URL: https://security.googleblog.com/2019/08/expanding-bug-bounti...
Новость: https://www.opennet.me/opennews/art.shtml?num=51387
Фарс.
Андроид. Вознаграждения не надо - просто удалите эту одну большую общую уязвимость.
Заливайте свой трешак в гугел-помойку, а потом сами же на него жалуйтесь
Надо чтобы этот трешак скачали более 100 млн. раз.
Извините, не продумал.> Исследователям безопасности за поиск уязвимостей в Google Play выплачено 265 тысяч долларов, из которых 75 тысяч в июле и августе этого года.
Боже, какие они оказывается жадные.
Дарю идею: приложения для гей-поиска в окрестностях носителя телефона, с нескучными смайлами, комментариями и лайками!
Вообще, неплохая идея про автотесты для таких популярных приложений. Лучше бы вообще для всех, даже с возможностью у себя развернуть, но это я размечтался.
Что мешает авторам таких приложений специально создавать такие уязвимости, а потом их "обнаруживать"?
Цель поиск и закрытие любых возможных уязвимостей. Кто их создаст не имеет значения.
Ничто. Такое бывало не раз. Этому даже дали специальное название "эффект кобры".
Ничто. А вот параллельно штрафовать такую компанию было бы хорошей идеей. Это будет стимулировать её контролировать качество своего кода. Давно уже пора так делать.
Гугл правда врядли осмелится, вся надежда на Евросоюз.
Премии дарвина?Сами не смогут проверить свои дырявые apk?
Этой помойке уже ничего не поможет. Яблоко - выбор профессионалов, а не обезьян, сидящих на дырявых ведрах!
> Яблоко - выбор профессионаловНе смешите.
Профессионалов в чем? В тыканье в телефончик
> профессионаловА профессионализм какой подразумевается? Высокий скилл владения указательным пальцем? Слоган типа: "Ещё вчера ты ковырялся этим пальцем в за@#$%ице, а теперь яблочный обменестратор"?
Эх, потёмкинская деревня...
Это вам не ниграконшоль разрутованного в лоскуты ВедроСеятеля!
Профессионалов, лол. Ну хорошо хоть на ipod, а то на этом вообще горы свернуть можно. Стоп, только не говорите мне, что музыкальный плеер и современный смартфон это средство потребления и развлечения, а не профессиональный инструмент.
https://googleprojectzero.blogspot.com/2019/08/a-very-deep-d...Там о пользователях знатно позаботились - даже устанавливать ничего не надо! Зашёл на вредоносный сайт - опа! - все твои данные уже в руках у какеров.
А с андроидом да, одни мучения.
Earlier this year Google's Threat Analysis Group (TAG) discovered a small collection of hacked websites. The hacked sites were being used in indiscriminate watering hole attacks against their visitors, using iPhone 0-day.
Интересно, а встроенные в приложения трояны тоже попадают в класс уязвимостей?
Вы работаете в крупной конторе мелким программером, деплоите говнокод в их аппликухе и подумываете как заработать? Теперь у вас есть шанс! За ваш говнокод назначена премия!п.с. Адекватной мерой будет штраф компании с найденной уязвимостью на сумму x10-x100 от выплаченной премии. Для хорошей стимуляции.
Помогите, пожалуйста, у меня плохо с арифметикой.Делю 265_000 (сумма вознаграждений) на 1_000_000 (приложений).
Никак не получается 5000.
Пусть Гугл сначала выложит исходники своих зондов. А посяля поговорим о выявлении у них уязвимостей.
Гуглу не помогайте!
"молодец! премию получишь! без жуёв!"
Лучше бы они платили за облегчение своего говнокода. Устройства с гигом оперативки отлично работают, пока там 16 сервис и 12 ютюб. Но они его обновляют без спроса. Я знаю что можно запретить, но что делать с медиаплеерами? Рут не поставишь. Похоже накачу линукс, благо он есть для этого устройства.
Корпорации добра конечно же надо верить! Только если багрепорт по уязвимости будет не по форме которую нельзя получить не послав багрепорт то к тебе выезжают злые автоматчики на чорных вертолетах и автоматически вкатывается иск на оверстопятсот лямов и пожизненный электростул, ага.. лучше уж неспеша за скромные полбиткоена вонючкам на даркбирже втулить чортов сикретек и заниматься своими скромными делами. А даже если чудом все сделал правильно то тебе с барского стола конешн отсыпят крошек но поставят на карандаш и будут трахать мозг до конца жизни, мвхаха!