Google reforça busca de bugs com o Programa de recompensa de proteção de dados do desenvolvedor

Nesta semana, o pessoal do Google responsável pela destruição de bugs no software expandiu seu programa de recompensas por bugs. Adam Bacchus, Sebastian Porst e Patrick Mutchler, do Android Security and Privacy, divulgaram uma declaração sobre o assunto, sugerindo que eles estão “aumentando o escopo do GPSRP para incluir todos os aplicativos no Google Play com 100 milhões ou mais de instalações”. GPSRP significa Programa de recompensa de segurança do Google Play. O Google também lançou um novo programa em linhas semelhantes, chamado DDPRP (Developer Data Protection Reward Program).

Com esse último aumento no escopo do Programa de recompensa de segurança do Google Play, os bugs encontrados em todos os aplicativos relativamente importantes da loja de aplicativos do Google Play são potencialmente viáveis ​​para recompensa. Este programa funciona para erros nos principais aplicativos, mesmo que os desenvolvedores desses aplicativos não possuam um programa de recompensa de erros próprio. O Google sempre incentiva os principais desenvolvedores de aplicativos a terem seu próprio programa de divulgação de vulnerabilidades, mas, nesses casos, ajudará na divulgação responsável de vulnerabilidades identificadas para esses desenvolvedores.

Se os desenvolvedores tiverem programas de divulgação de vulnerabilidades e programas de recompensa de bugs, os caçadores de bugs podem ganhar prêmios do desenvolvedor e do Google. O Google ainda trabalhará com o desenvolvedor, comunicando-se com o Google Play como parte do programa App Security Improvement (ASI), e o pesquisador de segurança (caçador de bugs) ainda poderá ganhar prêmios de ambas as partes.

O Programa de recompensa para proteção de dados do desenvolvedor é outro novo programa de recompensas do Google. Esse programa DDPRP foi iniciado em colaboração com o HackerOne e tem como objetivo “identificar e atenuar problemas de abuso de dados em aplicativos Android, projetos OAuth e extensões do Chrome”.

Com o DDPRP, o Google tem o objetivo de coletar relatórios sobre aplicativos que “violam as políticas do programa Google Play, API do Google ou Extensões da Web Store do Google Chrome”. Este programa deseja encontrar “evidências verificáveis ​​e inequívocas de abuso de dados”, com ênfase específica em “situações em que os dados do usuário estão sendo usados ​​ou vendidos inesperadamente, ou reaproveitados de maneira ilegítima sem o consentimento do usuário”.

Mais informações sobre DDPRP podem ser encontradas no HackerOne, onde, com apenas 9 relatórios resolvidos no momento, a recompensa média fica em torno de US $ 500 por pop. O Google sugeriu hoje que nenhuma tabela de recompensa ou recompensa máxima está em vigor no momento, mas que um único relatório “poderia render até US $ 50.000 em prêmios”.

Artigos Relacionados

Back to top button