Google tiene una gran cantidad de programas de recompensas por errores que lo ayudan a mantenerse al tanto de los piratas informáticos de sombrero negro. Para mantener altos los incentivos, la compañía modifica constantemente los marcos generales de estos programas y recientemente aumentó las recompensas de vulnerabilidad de Chrome. Hoy, Google anunció una expansión de su sistema de recompensas por errores en Google Play para incluir todas las aplicaciones con 100 millones de descargas o más. También introdujo recompensas centradas en la privacidad para los investigadores que identifican problemas de abuso de datos en las aplicaciones.
Anteriormente, solo las vulnerabilidades enviadas a los propios programas de los desarrolladores de aplicaciones eran elegibles para el pago de recompensas. Encontrar errores en otras aplicaciones no les daría ningún incentivo monetario a los hackers de sombrero blanco. Esto cambia hoy: los investigadores de seguridad pueden revelar problemas con cualquier aplicación que tenga más de 100 millones de descargas directamente al Programa de recompensas de seguridad de Google Play. Luego, la compañía trabaja con el desarrollador en cuestión para corregir estos errores. Además de eso, Google promete el doble de pago si los desarrolladores ya tienen sus propios programas, los investigadores solo tienen que revelar los errores a ambas partes. Google utiliza los datos recopilados a través de estos informes para mejorar su sistema de mejora de la seguridad de las aplicaciones, que notifica automáticamente a otros desarrolladores sobre problemas similares.
ANDROIDPOLICE VÍDEO DEL DÍA
El nuevo programa de recompensas de protección de datos para desarrolladores, creado en colaboración con HackerOne, no solo tiene como objetivo identificar problemas de abuso de datos en aplicaciones de Android, sino también proyectos OAuth y extensiones de Chrome. Se centra en "situaciones en las que los datos del usuario se utilizan o venden de forma inesperada, o se reutilizan de forma ilegítima sin el consentimiento del usuario". Cualquier persona que presente "pruebas verificables e inequívocas de abuso de datos" es elegible para el pago y, aunque no se revelan las recompensas máximas en ese momento, Google dice que un "informe único podría generar una recompensa de hasta $ 50,000".
Ambas medidas deberían incentivar aún más a los piratas informáticos para que revelen vulnerabilidades. Con suerte, los futuros desastres de malware se detectarán mucho más rápido de esta manera.
Fuente: Google
PRESIONE SOLTAR
Expandiendo las recompensas de errores en Google Play
29 de agosto de 2019
Publicado por Adam Bacchus, Sebastian Porst y Patrick Mutchler – Seguridad y privacidad de Android
Buscamos constantemente formas de mejorar aún más la seguridad y la privacidad de nuestros productos y los ecosistemas que respaldan. En Google, comprendemos la fortaleza de las plataformas y los ecosistemas abiertos, y que las mejores ideas no siempre provienen del interior. Es por esta razón que ofrecemos una amplia gama de programas de recompensa por vulnerabilidades, alentando a la comunidad a ayudarnos a mejorar la seguridad para todos. Hoy, ampliamos esos esfuerzos con algunos cambios importantes en el Programa de recompensas de seguridad de Google Play (GPSRP), así como con el lanzamiento del nuevo Programa de recompensas de protección de datos para desarrolladores (DDPRP).
Aumenta el alcance del programa de recompensas de seguridad de Google Play
Estamos aumentando el alcance de GPSRP para incluir todas las aplicaciones en Google Play con 100 millones o más de instalaciones. Estas aplicaciones ahora son elegibles para recompensas, incluso si los desarrolladores de la aplicación no tienen su propio programa de divulgación de vulnerabilidades o de recompensas por errores. En estos escenarios, Google ayuda a divulgar de manera responsable las vulnerabilidades identificadas al desarrollador de la aplicación afectada. Esto abre la puerta para que los investigadores de seguridad ayuden a cientos de organizaciones a identificar y corregir vulnerabilidades en sus aplicaciones. Si los desarrolladores ya tienen sus propios programas, los investigadores pueden obtener recompensas directamente de ellos además de las recompensas de Google. Alentamos a los desarrolladores de aplicaciones a que inicien su propio programa de divulgación de vulnerabilidades o de recompensas por errores para trabajar directamente con la comunidad de investigadores de seguridad.
Los datos de vulnerabilidad de GPSRP ayudan a Google a crear comprobaciones automáticas que analizan todas las aplicaciones disponibles en Google Play en busca de vulnerabilidades similares. Los desarrolladores de aplicaciones afectadas reciben una notificación a través de Play Console como parte del programa de mejora de la seguridad de la aplicación (ASI), que brinda información sobre la vulnerabilidad y cómo solucionarla. A lo largo de su vida, ASI ha ayudado a más de 300 000 desarrolladores a corregir más de 1 000 000 de aplicaciones en Google Play. Solo en 2018, el programa ayudó a más de 30 000 desarrolladores a reparar más de 75 000 aplicaciones. El efecto descendente significa que esas 75 000 aplicaciones vulnerables no se distribuyen a los usuarios hasta que se soluciona el problema.
Hasta la fecha, GPSRP ha pagado más de $265 000 en recompensas. Los aumentos recientes en el alcance y las recompensas han resultado en $75,500 en recompensas solo en julio y agosto. Con estos cambios, anticipamos un mayor compromiso de la comunidad de investigación de seguridad para impulsar el éxito del programa.
Presentamos el programa de recompensas de protección de datos para desarrolladores
Hoy, también estamos lanzando el Programa de recompensas de protección de datos para desarrolladores. DDPRP es un programa de recompensas, en colaboración con HackerOne, destinado a identificar y mitigar problemas de abuso de datos en aplicaciones de Android, proyectos de OAuth y extensiones de Chrome. Reconoce las contribuciones de las personas que ayudan a denunciar aplicaciones que infringen las políticas del programa Google Play, Google API o Google Chrome Web Store Extensions.
El programa tiene como objetivo recompensar a cualquier persona que pueda proporcionar evidencia verificable e inequívoca de abuso de datos, en un modelo similar al de otros programas de recompensa de vulnerabilidad de Google. En particular, el programa tiene como objetivo identificar situaciones en las que los datos del usuario se usan o venden de forma inesperada, o se reutilizan de manera ilegítima sin el consentimiento del usuario. Si se identifica un abuso de datos relacionado con una aplicación o extensión de Chrome, esa aplicación o extensión se eliminará de Google Play o Google Chrome Web Store. En el caso de que un desarrollador de aplicaciones abuse del acceso a los ámbitos restringidos de Gmail, se eliminará su acceso a la API. Si bien no se incluye una tabla de recompensas o una recompensa máxima en este momento, según el impacto, un solo informe podría generar una recompensa de hasta $ 50,000.
A medida que avanza el 2019, esperamos ver qué encuentran los investigadores a continuación. Gracias a toda la comunidad por contribuir a mantener seguras nuestras plataformas y ecosistemas. ¡Feliz caza de bichos!
LEE MAS