(https://i.imgur.com/YihlLqd.jpg)
Errores de Google Rewards encontrados en todas las aplicaciones de Android con más de 100 millones de instalaciones
Google amplió el alcance de su Programa de Recompensas de Seguridad de Google Play ( GPSRP) para incluir todas las aplicaciones de Android de Google Play Store con más de 100 millones de instalaciones.
Los investigadores de seguridad que informan vulnerabilidades en una de estas aplicaciones podrán obtener recompensas de Google y una de los desarrolladores de la aplicación si también ejecutan su propio programa de recompensas de errores en la plataforma HackerOne.
"Esto abre la puerta para que los investigadores de seguridad ayuden a cientos de organizaciones a identificar y corregir vulnerabilidades en sus aplicaciones", dice Google.
Google recopilará todos los datos de vulnerabilidad GPSRP y los incluirá en sus propias herramientas de protección contra malware para "crear comprobaciones automáticas que analicen todas las aplicaciones disponibles en Google Play en busca de vulnerabilidades similares".
Estamos aumentando el alcance de GPSRP para incluir todas las aplicaciones en Google Play con 100 millones o más de instalaciones. Estas aplicaciones ahora son elegibles para recompensas, incluso si los desarrolladores de la aplicación no tienen su propia divulgación de vulnerabilidad o programa de recompensa por errores. - Google
También se enviarán notificaciones a los desarrolladores cuando se revele una vulnerabilidad dentro del alcance de sus aplicaciones, incluida información sobre la falla de seguridad e instrucciones sobre cómo solucionarla.
Las alertas se enviarán a través de Play Console como parte del programa de mejora de la seguridad de la aplicación (ASI) , un servicio que proporciona a los desarrolladores de aplicaciones de Google Play consejos sobre cómo aumentar la seguridad de sus aplicaciones.
"Durante su vida útil, ASI ha ayudado a más de 300,000 desarrolladores a arreglar más de 1,000,000 de aplicaciones en Google Play". agrega Google.
(https://i.imgur.com/axSAY0g.png)
Ejemplo de notificación ASI
"Solo en 2018, el programa ayudó a más de 30,000 desarrolladores a reparar más de 75,000 aplicaciones. El efecto posterior significa que esas 75,000 aplicaciones vulnerables no se distribuyen a los usuarios hasta que se solucione el problema".
Hasta ahora, Google ha pagado más de $ 265,000 en recompensas a través de GPSRP, con aumentos de alcance y recompensa que han resultado en $ 75,500 en recompensas por errores solo en julio y agosto.
El programa de recompensa de protección de datos para desarrolladores también se lanzó
Google también lanzó el Programa de Recompensa de Protección de Datos para Desarrolladores (DDPRP) en colaboración con la plataforma HackerOne, un programa de recompensa por errores diseñado para recompensar a los investigadores que ayudan a "identificar y mitigar los problemas de abuso de datos en aplicaciones de Android, proyectos OAuth y extensiones de Chrome".
DDPRP acepta contribuciones de piratas informáticos que deseen informar sobre todas y cada una de las aplicaciones que infrinjan las políticas del programa Google Play, Google API o Google Chrome Web Store Extensions.
El programa tiene como objetivo recompensar a cualquiera que pueda proporcionar evidencia verificable e inequívoca de abuso de datos, en un modelo similar a los otros programas de recompensa de vulnerabilidad de Google. En particular, el programa tiene como objetivo identificar situaciones en las que los datos del usuario se usan o venden inesperadamente, o se reutilizan de forma ilegítima sin el consentimiento del usuario. - Google
Si se confirman los problemas de abuso de datos informados a través de DDPRP, las aplicaciones y extensiones involucradas se eliminarán posteriormente de Google Play o Google Chrome Web Store.
Si los desarrolladores también abusan de las API del servicio de Google para acceder a la información fuera de los ámbitos restringidos, también se revocará su acceso a la API.
Aunque Google todavía no proporciona una recompensa máxima o una tabla de recompensas, un solo informe podría generar recompensas netas para investigadores de hasta $ 50,000, dependiendo del impacto del problema informado.
Vía: bleepingcomputer.com