Google meningkatkan perburuan bug dengan Program Reward Perlindungan Data Pengembang
Minggu ini orang-orang di Google yang bertanggung jawab atas penghancuran bug dalam perangkat lunak telah memperluas program karunia bug mereka. Adam Bacchus, Sebastian Porst, dan Patrick Mutchler dari Android Security and Privacy merilis pernyataan tentang subjek tersebut, menyarankan bahwa mereka “meningkatkan cakupan GPSRP untuk memasukkan semua aplikasi di Google Play dengan 100 juta atau lebih pemasangan.” GPSRP adalah singkatan dari Google Mainkan Program Hadiah Keamanan. Google juga meluncurkan program baru di sepanjang jalur serupa yang disebut Program Reward Perlindungan Data Pengembang (DDPRP).
Dengan peningkatan ruang lingkup terbaru untuk Program Hadiah Keamanan Google Play, bug yang ditemukan di semua aplikasi yang relatif besar di toko aplikasi Google Play berpotensi layak untuk hadiah. Program ini berfungsi untuk bug di aplikasi utama bahkan jika pengembang aplikasi tersebut tidak memiliki program karunia bug sendiri. Google selalu mendorong pengembang aplikasi besar untuk memiliki program pengungkapan kerentanan mereka sendiri, tetapi dalam kasus ini, akan membantu pengungkapan kerentanan yang diidentifikasi secara bertanggung jawab kepada pengembang tersebut.
Jika pengembang DO memiliki program pengungkapan kerentanan dan program karunia bug, pemburu bug berpotensi mendapatkan bayaran dari pengembang dan Google. Google akan tetap bekerja dengan pengembang, berkomunikasi dengan Google Play sebagai bagian dari program Peningkatan Keamanan Aplikasi (ASI), dan peneliti keamanan (pemburu bug) masih berpotensi mendapatkan bayaran dari kedua belah pihak.
Program Hadiah Perlindungan Data Pengembang adalah program hadiah baru dari Google. Program DDPRP ini diprakarsai bekerja sama dengan HackerOne, dan dimaksudkan "untuk mengidentifikasi dan mengurangi masalah penyalahgunaan data di aplikasi Android, proyek OAuth, dan ekstensi Chrome."
Dengan DDPRP, Google bertujuan untuk mengumpulkan laporan tentang aplikasi yang “melanggar Google Play, Google API, atau kebijakan program Ekstensi Google Chrome Web Store.” Program ini ingin menemukan “bukti penyalahgunaan data yang jelas dan tidak ambigu”, dengan penekanan khusus pada "Situasi di mana data pengguna sedang digunakan atau dijual secara tidak terduga, atau digunakan kembali dengan cara yang tidak sah tanpa persetujuan pengguna."
Lebih lanjut tentang DDPRP dapat ditemukan di Peretas, di mana dengan hanya 9 laporan diselesaikan pada saat ini, rata-rata hadiah duduk di sekitar $ 500 per pop. Google menyarankan hari ini bahwa tidak ada tabel hadiah atau hadiah maksimum yang ada pada saat ini, tetapi satu laporan "dapat menghasilkan laba sebesar $ 50.000."
