Expande los errores en Google Play

publicado por Adam Bacchus, Sebastian Porst y Patrick Mutchler – Seguridad y privacidad de Android

Estamos constantemente buscando formas de mejorar aún más la seguridad y privacidad de nuestros productos y los ecosistemas que soportan. En Google, entendemos la fortaleza de las plataformas y ecosistemas abiertos y que las mejores ideas no siempre provienen del interior. Es por eso que ofrecemos una amplia gama de programas de recompensa por vulnerabilidad, alentando a la comunidad a ayudarnos a mejorar la seguridad de todos. Hoy estamos ampliando estos esfuerzos con algunos cambios importantes en el programa de recompensa de seguridad de Google Play (GPSRP), así como con el lanzamiento del nuevo programa de recompensa de protección de datos para desarrolladores (DDPRP).

Aumenta el alcance del programa de recompensas de seguridad de Google Play

Estamos aumentando el alcance de GPSRP para incluir todas las aplicaciones en Google Play con 100 millones o más instalaciones. Estas aplicaciones ahora son elegibles para recibir premios, aunque los desarrolladores de aplicaciones no tienen su propia divulgación de vulnerabilidad o programa de recompensa de errores. En estos escenarios, Google ayuda a revelar de manera responsable las vulnerabilidades identificadas al desarrollador de la aplicación en cuestión. Esto abre la puerta para que los investigadores de seguridad ayuden a cientos de organizaciones a identificar y corregir vulnerabilidades en sus aplicaciones. Si los desarrolladores ya tienen sus propios programas, los investigadores pueden recoger los premios directamente de ellos además de los premios de Google. Alentamos a los desarrolladores de aplicaciones a comenzar su programa de divulgación de vulnerabilidades o recompensas de errores para que trabajen directamente con la comunidad de investigación de seguridad.

Los datos de vulnerabilidad GPSRP ayudan a Google a crear comprobaciones automáticas que analizan todas las aplicaciones disponibles en Google Play en busca de vulnerabilidades similares. Los desarrolladores de aplicaciones interesados ​​son notificados a través de Play Console como parte del programa ASI (App Security Improvement), que proporciona información sobre la vulnerabilidad y cómo resolverla. A lo largo de su vida, ASI ha ayudado a más de 300,000 desarrolladores a reparar más de 1,000,000 de aplicaciones en Google Play. Solo en 2018, el programa ayudó a más de 30,000 desarrolladores a reparar más de 75,000 aplicaciones. El efecto posterior significa que esas 75,000 aplicaciones vulnerables no se distribuyen a los usuarios hasta que se resuelva el problema.

Hasta la fecha, GPSRP ha proporcionado más de $ 265,000 en regalos. Los recientes aumentos en el alcance y la recompensa han llevado a $ 75,500 en premios solo en julio y agosto. Con estos cambios, esperamos más esfuerzos de la comunidad de investigación de seguridad para fortalecer el éxito del programa.

Presentación del programa de recompensa de protección de datos de desarrollador

Hoy también lanzamos el programa de recompensa de protección de datos de desarrollador. DDPRP es un programa de recompensas, en colaboración con HackerOne, diseñado para identificar y mitigar problemas de abuso de datos en aplicaciones de Android, proyectos OAuth y extensiones de Chrome. Reconoce las contribuciones de personas que ayudan a informar aplicaciones que violan las reglas de Google Play Extensions, API de Google o Google Chrome Web Store.

El programa tiene como objetivo recompensar a cualquiera que pueda proporcionar evidencia verificable e inequívoca de abuso de datos, en un modelo similar al de otros programas de recompensa de vulnerabilidad de Google. En particular, el programa tiene como objetivo identificar las situaciones en las que los datos del usuario se usan o venden inesperadamente o se vuelven a proponer ilegítimamente sin el consentimiento del usuario. Si se identifica un abuso de datos relacionado con una aplicación o extensión de Chrome, esa aplicación o extensión se eliminará de Google Play o Google Chrome Web Store. En el caso de que un desarrollador de aplicaciones abusa del acceso a las áreas restringidas de Gmail, se eliminará su acceso a la API. Aunque en este momento no hay una tabla de recompensas o una recompensa máxima, según el impacto, un solo informe podría alcanzar un valor de $ 50,000.

A medida que continúa 2019, no vemos el tiempo para ver lo que los investigadores descubrirán más adelante. Gracias a toda la comunidad por ayudar a mantener nuestras plataformas y ecosistemas seguros. Buena caza de insectos!

Compruebe también

La actualización de CameraX hace que las cámaras duales simultáneas sean aún más fáciles

Publicado por Donovan McMurray – Ingeniero de relaciones con desarrolladores CámaraXLa biblioteca de cámaras Jetpack …

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *