Program hadiah bug Play Store berkembang ke semua …

Perluas hadiah kesalahan di Google Play

29 Agustus 2019

Diposting oleh Adam Bacchus, Sebastian Porst dan Patrick Mutchler – Keamanan dan Privasi Android

Kami terus mencari cara untuk lebih meningkatkan keamanan dan privasi produk kami dan ekosistem yang didukungnya. Di Google, kami memahami kekuatan platform terbuka dan ekosistem, dan bahwa ide-ide terbaik tidak selalu datang dari dalam. Karena alasan ini, kami menawarkan beberapa program imbalan kerentanan, mendorong masyarakat untuk membantu kami meningkatkan keselamatan bagi semua. Hari ini, kami meningkatkan upaya ini dengan beberapa perubahan besar pada Program Penghargaan Keamanan Google Play (GPSRP), serta peluncuran Program Perlindungan Data Pengembang (DDPRP) yang baru.

Jangkauan program hadiah keamanan Google Play meningkat

Kami meningkatkan cakupan GPSRP untuk memasukkan semua aplikasi di Google Play dengan 100 juta atau lebih pemasangan. Aplikasi ini sekarang memenuhi syarat untuk hadiah, bahkan jika pengembang aplikasi tidak memiliki pengungkapan kerentanan atau program hadiah bug mereka sendiri. Dalam skenario ini, Google membantu untuk mengungkapkan kerentanan yang diidentifikasi secara bertanggung jawab kepada pengembang aplikasi yang terpengaruh. Ini membuka pintu bagi peneliti keamanan untuk membantu ratusan organisasi mengidentifikasi dan memperbaiki kerentanan dalam aplikasi mereka. Jika pengembang sudah memiliki program mereka sendiri, peneliti dapat mengumpulkan hadiah langsung dari mereka di atas hadiah Google. Kami mendorong pengembang aplikasi untuk mulai mengungkapkan kerentanan mereka sendiri atau program penghargaan bug untuk bekerja secara langsung dengan komunitas riset keamanan.

Data kerentanan GPSRP membantu Google melakukan pemeriksaan otomatis yang memindai semua aplikasi yang tersedia di Google Play untuk kerentanan serupa. Pengembang aplikasi yang terpengaruh diberitahu melalui Play Console sebagai bagian dari program Peningkatan Keamanan Aplikasi (ASI), yang menyediakan informasi tentang kerentanan dan cara memperbaikinya. Selama masa pakainya, ASI telah membantu lebih dari 300.000 pengembang meningkatkan lebih dari 1.000.000 aplikasi di Google Play. Pada tahun 2018 saja, program ini akan membantu lebih dari 30.000 pengembang meningkatkan lebih dari 75.000 aplikasi. Efek setelahnya berarti bahwa 75.000 aplikasi rentan tidak didistribusikan kepada pengguna hingga masalah ini diperbaiki.

Hingga saat ini, GPSRP telah membayar hadiah lebih dari $ 265.000. Cakupan dan peningkatan penghargaan baru-baru ini telah menghasilkan penghargaan $ 75.500 hanya sepanjang Juli dan Agustus. Dengan perubahan ini, kami mengantisipasi peningkatan keterlibatan komunitas riset keamanan untuk mendukung keberhasilan program.

Memperkenalkan Program Hadiah Data Pengembang

Hari ini, kami juga meluncurkan Program Penghargaan Perlindungan Data Pengembang. DDPRP adalah program penghargaan, bekerja sama dengan HackerOne, yang bertujuan mengidentifikasi dan mengurangi masalah penyalahgunaan data di aplikasi Android, proyek OAuth, dan ekstensi Chrome. Mengakui kontribusi individu yang membantu melaporkan aplikasi yang melanggar kebijakan program Google Play, Google API, atau ekstensi Google Chrome Web Store.

Program ini bertujuan untuk menghargai siapa saja yang dapat memberikan bukti penyalahgunaan data yang jelas dan tegas, dalam model yang sama dengan program imbalan kerentanan Google lainnya. Secara khusus, program ini bertujuan untuk mengidentifikasi situasi di mana data pengguna digunakan atau dijual secara tidak terduga, atau digunakan kembali dengan cara yang tidak sah tanpa persetujuan pengguna. Jika penyalahgunaan data diidentifikasi terkait dengan aplikasi atau ekstensi Chrome, aplikasi atau ekstensi tersebut akan dihapus dari Google Play atau Google Chrome Web Store. Jika pengembang aplikasi menyalahgunakan akses ke ruang lingkup terbatas Gmail, akses API mereka akan dihapus. Meskipun tidak ada tabel hadiah atau hadiah maksimum saat ini, tergantung pada dampaknya, sebuah laporan dapat menghasilkan keuntungan sebesar $ 50.000.

Saat 2019 berlanjut, kami berharap dapat melihat apa yang peneliti temukan selanjutnya. Terima kasih kepada seluruh komunitas untuk membantu menjaga platform dan ekosistem kita aman. Selamat berburu serangga!