Advertentie

Als u een ontwikkelaar van Android-apps bent met een neus voor het opsporen van beveiligingsproblemen, kunt u worden betaald voor het uitlenen van uw vaardigheden aan Google. Hackers zijn erin geslaagd met malware geïnfecteerde apps in de Google Play Store te plaatsen, waarvan sommige miljoenen downloads hebben ontvangen.

Als reactie hierop heeft Google zijn bug bounty-programma geopend waarmee ontwikkelaars kunnen graven naar beveiligingsproblemen in veelvoorkomende apps. Voorheen waren er maar een paar apps beschikbaar. Nu maken alle populaire Play Store-apps deel uit van het programma. Het programma betaalt geldbeloningen voor ontwikkelaars die beveiligingsproblemen vinden en melden.

Waarom Google een Bug Bounty-programma heeft

Google heeft al lang een bugbounty-programma voor zijn eigen apps. Zoals veel bedrijven, Google biedt beloningen aan ontwikkelaars die problemen op haar websites ontdekken Google betaalt u $ 100 + als u ze gewoon helptGoogle heeft honderdduizenden dollars uitbetaald aan gewone gebruikers omdat ze maar één ding hebben gedaan. Lees verder

instagram viewer
. Het biedt ook beloningen voor het vinden van bugs in de Chrome-browser of het Chrome-besturingssysteem. Maar onlangs heeft het de meer radicale stap gezet om beloningen aan te bieden voor bugs die ook in de apps van andere bedrijven voorkomen.

De eerste iteratie van het bug-bounty-programma van de Play Store was slechts van toepassing op een zeer klein aantal top-apps. Nu heeft Google het programma uitgebreid tot elke app in de Play Store met meer dan 100 miljoen installaties. Dit betekent dat er voor bug hunters veel meer mogelijkheden zijn om problemen in Play Store-apps te ontdekken en worden beloond voor het melden ervan, zelfs als de app-ontwikkelaars hun eigen bugbounty niet aanbieden programma's.

Google zegt dat het dit programma heeft geïntroduceerd in de hoop 'de community aan te moedigen om ons te helpen de beveiliging voor iedereen te verbeteren'. Daarom moedigt het bug-jagers die een bug ontdekken aan om dit aan de app-ontwikkelaars en aan Google te melden. Dit geeft de oorspronkelijke app-ontwikkelaars de kans om de bug snel op te lossen. En dat betekent een betere beveiliging voor iedereen die Android-apps gebruikt.

Hoe u kunt deelnemen aan het Bug Bounty-programma

Verdien geld met het vinden van beveiligingsproblemen in Google Play Apps - Play Store

Het Play Store bug bounty-schema wordt het genoemd Google Play Security Reward Program (GPSRP). Google nodigt beveiligingsonderzoekers en app-ontwikkelaars uit om deel te nemen. De eerste stap is het invullen van een toepassing om deel te nemen aan het programma. Zodra u bent goedgekeurd, kunt u in elke in aanmerking komende app in de Play Store naar beveiligingsproblemen zoeken.

Er zijn drie soorten kwetsbaarheden waarnaar deelnemers op zoek zijn. Ten eerste zijn kwetsbaarheden in de uitvoering van externe code die waarmee een hacker toegang krijgt tot het apparaat van een gebruiker en wijzigingen kan aanbrengen. Dit zijn zeer ernstige beveiligingsproblemen.

Ten tweede is er de diefstal van onveilige privégegevens. Hier kan een hacker door een kwetsbaarheid persoonlijke informatie stelen, zoals inloggegevens, webgeschiedenis of lijsten met contactpersonen.

Ten derde is er toegang tot beveiligde app-componenten. Dit verwijst naar apps die functies uitvoeren waarvoor ze geen toestemming hebben. Bijvoorbeeld een app die sms-berichten verzendt, ook als deze daarvoor geen toestemming heeft van de gebruiker.

Het programma dekt sommige beveiligingsproblemen niet. Zo komen phishing-aanvallen, hoewel potentieel gevaarlijk, niet in aanmerking. Dit komt omdat ze werken door de gebruiker te misleiden en niet door schadelijke code uit te voeren. Het programma dekt ook geen aanvallen die fysieke toegang tot een apparaat vereisen.

Zodra je een bug ontdekt, moet je contact opnemen met de ontwikkelaar van de app om hem of haar hiervan op de hoogte te stellen. Vervolgens kunt u samenwerken met de ontwikkelaar om het probleem op te lossen. Zodra de kwetsbaarheid is opgelost, kunt u uw contante beloning claimen bij Google.

Verdien premies voor het ontdekken van gegevensmisbruik door apps

Verdien geld met het vinden van beveiligingsproblemen in Google Play Apps - gegevensmisbruik

Google biedt niet alleen beloningen voor het vinden van beveiligingsbugs. Het probeert apps te kraken die ook gebruikersgegevens stelen. Onlangs lanceerde het bedrijf zijn Beloningsprogramma voor gegevensbescherming voor ontwikkelaars (DDPRP) die vergelijkbare beloningen biedt voor ontwikkelaars die gegevensmisbruik door apps ontdekken.

De soorten gegevensmisbruik waarnaar het programma op zoek is, zijn apps die gebruikersgegevens verzamelen en verkopen op een manier die in strijd is met het privacybeleid van Google. Dit kan bijvoorbeeld een app zijn die gegevens verzamelt uit de contactboeken van gebruikers, zoals metadata, die laten zien wie ze hebben gebeld en wanneer, zonder dit te beschermen als gevoelige gegevens.

Het zou ook betrekking hebben op apps die de regels over toestemmingen schenden, zoals een app die wel toegang heeft voor sms-rechten, maar gebruikt dit om gegevens te verzamelen over de sms-berichten van gebruikers om door te verkopen aan derden partijen. Als alternatief zou het een app omvatten die toestemming vraagt ​​om toegang te krijgen tot contactgegevens en die gegevens vervolgens opnieuw gebruikt voor een niet-gerelateerde app.

Om meer details te zien over welke soorten datamisbruik precies in aanmerking komen voor het programma, kunt u kijken op de DDPRP-website. Net als bij het bug bounty-programma, komt elke app in de Play Store met meer dan 100 miljoen installaties in aanmerking.

De aangeboden beloningen voor het ontdekken van bugs

Er worden cashbeloningen aangeboden voor zowel de bugbounty als de programma's voor gegevensmisbruik. Het bedrag dat voor een bepaald rapport wordt uitbetaald, is afhankelijk van de ernst van het probleem. Het hangt ook af van de kwaliteit van het bij Google ingediende rapport.

De beloningen voor het Google Play Security Reward Program variëren van $ 5.000 tot $ 20.000 voor bugs bij het uitvoeren van externe code, van $ 1.000 tot $ 3.000 voor diefstal van onveilige privégegevens en van $ 1.000 tot $ 3.000 voor toegang tot beveiligde app componenten. Daarnaast zijn er bonussen om de kwetsbaarheden op een verantwoorde manier bekend te maken aan de app-ontwikkelaars. Dit geeft de ontwikkelaars de mogelijkheid om het probleem op te lossen.

De beloningen voor het Developer Data Protection Reward Program variëren van $ 100 tot $ 1000. Om de beloning te claimen, moet je een rapport indienen. U moet informatie schrijven over welk gegevensbeleid is geschonden, hoe gegevens zijn misbruikt en een lijst met tijden waarop de app het beleid heeft geschonden.

Verdien geld door op beveiligingslekken te jagen

De bountyprogramma's voor bugs en gegevensmisbruik van Google geven u de kans om geld te verdienen. Ze laten je ook helpen om de beveiliging van apps die via de Play Store worden gedistribueerd, te verbeteren. Als u geïnteresseerd bent in meer mogelijkheden om op bugs te jagen, kunt u ook de programma's van andere bedrijven bekijken. Voor enkele voorbeelden, zie onze lijst met geweldige bug bounty-programma's voor het verdienen van zakgeld 25 geweldige "Bug Bounty" -programma's voor het verdienen van zakgeldAls je expertise hebt in beveiligingsprotocollen, kun je wat extra geld verdienen met het zoeken naar bugs in populaire apps en websites en beloond worden met een bugbounty. Dit zijn de best betalende programma's in 2016. Lees verder .

Georgina is een schrijver voor wetenschap en technologie die in Berlijn woont en een doctoraat in de psychologie heeft. Als ze niet schrijft, is ze meestal aan het sleutelen aan haar pc of aan het fietsen, en je kunt meer van haar schrijven zien op georginatorbet.com.