Google

Google zahlt Ihnen 1.000 US-Dollar, um einige der beliebtesten Apps von Android zu hacken

Das Unternehmen führt ein Google Play Bug-Bounty-Programm ein, das die Forscher ermutigen wird, nach Schwachstellen in einigen der beliebtesten Apps von Android zu suchen (sowohl von Google als auch von Entwicklern von Drittanbietern).

Das neue Programm wurde als “Google Play Security Reward”-Programm bezeichnet und soll Forschern ermöglichen, direkt mit Android App-Entwicklern zusammenzuarbeiten, um Schwachstellen zu finden. Wenn Sie einem Entwickler helfen, einen Fehler zu finden, zahlt Google Ihnen $ 1.000 (zusätzlich zu dem, was der Drittanbieter selbst bezahlen könnte).

Was Google-Forscher-Team bis jetzt rausgefunden hat:

Das Programm enthält derzeit nur eine begrenzte Auswahl an Android-Apps. Nicht alle Android-Apps sind auf der Liste vorhanden: derzeit sind nur die Apps von Alibaba, Dropbox, Duolingo, Headspace, LINE, Snapchat und Tinder zusammen mit “allen von Google entwickelten Android-Apps bei Google Play” auf dieser Liste vorhanden.

Die Forscher arbeiten direkt mit dem App-Entwickler zusammen, um Schwachstellen zu bestätigen / zu beseitigen; Sobald ein Fehler behoben ist, teilt der Forscher Google mit, der den Fehler bestätigt und die Belohnung von 1.000 US-Dollar ausgezahlt wird. Google will den Fehler nicht kennen, bevor er behoben ist. “Dieses Programm dient nur zur Anforderung von Bonus-Bounties, nachdem die ursprüngliche Schwachstelle mit dem App-Entwickler behoben wurde”, heißt es.

Wie bei den meisten Bug-Bounty-Programmen, sucht Google hier nach einer bestimmten Art von bösem Problem. Der Anwendungsbereich umfasst derzeit das Erzwingen einer App zum Herunterladen / Ausführen von willkürlichem Code, das Manipulieren der Benutzeroberfläche einer App,
um eine Transaktion zu erzwingen (sie erwähnen zum Beispiel, dass eine Bank-App als Zahlungsmittel ohne Einwilligung eines Nutzers vorgetäuscht wird) oder eine App öffnen, für Phishing verwendet werden. Google greift auf HackerOne zurück, um einen Großteil des Backends für dieses Programm zu verwalten, von der Übermittlung von Berichten bis hin zum Einladen von
White-Hat-Hackern in neue Programmteile, sobald diese eingeführt werden.

Das breitere Bug-Bounty-Programm von Google, zu dem Chrome und Android selbst gehören, hatte ab Januar 2017 rund 9 Millionen US-Dollar ausbezahlt.

Post Comment