Google Memperluas Cakupan Program Bounty Bugnya, Meluncurkan Program Hadiah Perlindungan Data untuk Pengembang
Tampaknya lonjakan baru-baru ini dalam jumlah aplikasi yang dimuat malware yang telah berhasil menyapu jutaan unduhan telah memaksa Google untuk mempertimbangkan kembali strategi keamanan datanya. Untuk menangani ancaman secara efektif, Google telah memperluas cakupan Program Google Play Security Reward (GPSRP) untuk mencakup semua aplikasi yang telah mengumpulkan lebih dari 100 juta unduhan di Play Store. Ini secara efektif berarti Google memberikan hadiah bug untuk menemukan kerentanan di aplikasi pihak ketiga. Selain itu, perusahaan juga telah meluncurkan Program Penghargaan Perlindungan Data Pengembang (DDPRP) bekerja sama dengan HackerOne untuk menemukan dan menghilangkan masalah penyalahgunaan data yang terlihat di aplikasi Android, proyek OAuth, dan ekstensi Chrome.
Google telah secara aktif membersihkan aplikasi yang sarat malware dari Play Store, tetapi perusahaan telah mengalami kesulitan dengan itu, terutama ketika beberapa aplikasi yang sangat populer ditemukan terlibat. Ambil contoh aplikasi CamScanner, yang memiliki lebih dari 100 juta unduhan, tetapi baru-baru ini di-boot dari Play Store untuk menabur malware periklanan. Untuk lebih efektif mengekang kejadian seperti itu, Google telah memperluas Program Hadiah Keamanan Google Play (GPSRP) untuk mencakup semua aplikasi yang telah mencatat 100 juta unduhan atau lebih banyak unduhan di Play Store.
Peneliti keamanan sekarang dapat mengumpulkan karunia untuk menemukan kerentanan dan bug keamanan serius di aplikasi yang memenuhi syarat, bahkan jika pengembang tidak menjalankan program karunia bug. Dan jika ada program karunia bug sisi pengembang, peneliti dapat mengumpulkan hadiah dari mereka serta Google sebagai insentif tambahan. Sedangkan untuk hadiahnya, menemukan kerentanan RCE (Remote Code Execution) akan mengantongi keren peneliti keamanan $ 20.000 (kira-kira Rs. 14,31.000). Penemuan kerentanan yang mengarah pada pencurian data akan dihargai dengan $ 3.000 (sekitar Rs. 2.15.000), sementara mereka yang berkaitan dengan akses ke komponen aplikasi yang dilindungi akan menjaring pencari dengan jumlah yang setara.
Selain mengutak-atik program karunia bug, Google juga telah meluncurkan Program Hadiah Perlindungan Data Pengembang (DDPRP) bekerja sama dengan HackerOne. Tujuan DDRP adalah untuk "mengidentifikasi dan mengurangi masalah penyalahgunaan data dalam aplikasi Android populer, proyek OAuth, dan ekstensi Chrome". Di bawah perlindungan DDPRP, Google akan menghargai pengembang yang menemukan aplikasi yang melanggar Google Play, Google API atau kebijakan program Google Chrome Web Store.
Aplikasi yang salah menangani data telepon lokal, aplikasi yang membagikan informasi sensitif dengan pengiklan pihak ketiga, ekstensi yang melanggar persyaratan privasi data pengguna minimum Chrome Web Store, adalah beberapa contoh yang ingin diidentifikasi dan dihilangkan oleh Google.
Jika penyalahgunaan data terlihat, aplikasi atau ekstensi Chrome akan dihapus dari Play Store dan Google Chrome Web Store. Pada catatan yang serupa, keterlibatan dalam penyalahgunaan akses ke lingkup terbatas Gmail akan menghasilkan penghapusan akses API. Hadiah puncak belum dicantumkan, tetapi peneliti keamanan dapat berharap untuk menjaring hadiah sebesar $ 50.000 (kira-kira Rs. 36,80.000) jika penemuan itu benar-benar berdampak
