Hoe u geld kunt verdienen door beveiligingsproblemen te vinden in Android-apps
Advertentie
Als u een Android-app-ontwikkelaar bent met een neus voor het opsporen van beveiligingsproblemen, kunt u worden betaald voor het lenen van uw vaardigheden aan Google. Hackers zijn erin geslaagd om met malware geïnfecteerde apps in de Google Play Store te planten, waarvan sommige miljoenen downloads hebben gekregen.
In reactie hierop heeft Google zijn bug bounty-programma geopend waarmee ontwikkelaars kunnen graven naar beveiligingsproblemen in veelgebruikte apps. Voorheen werden slechts enkele apps behandeld. Nu maken alle populaire Play Store-apps deel uit van het programma. Het programma betaalt geldbeloningen uit voor ontwikkelaars die beveiligingsproblemen opsporen en melden.
Waarom Google een Bug Bounty-programma heeft
Google heeft al lang een bug bounty-programma voor zijn eigen apps. Net als veel andere bedrijven biedt Google beloningen aan ontwikkelaars die problemen aan het licht brengen op zijn websites. Google betaalt u $ 100 + als u ze gewoon helpt Google betaalt u $ 100 + als u ze gewoon helpt Google heeft honderdduizenden dollars uitbetaald gebruikers voor het doen van één eenvoudig ding. Lees verder . Het biedt ook beloningen voor het vinden van bugs in zijn Chrome-browser of zijn Chrome-besturingssysteem. Maar recent heeft het de meer radicale stap gezet om beloningen aan te bieden voor bugs die ook in de apps van andere bedrijven te vinden zijn.
De eerste herhaling van het Play Bounty-programma voor bugs was alleen van toepassing op een zeer klein aantal top-apps. Nu heeft Google het programma uitgebreid tot elke app in de Play Store met meer dan 100 miljoen installaties. Dit betekent dat er veel meer mogelijkheden zijn voor bugjagers om problemen in Play Store-apps te ontdekken en beloond te worden voor het melden ervan, zelfs als de app-ontwikkelaars geen eigen programma's voor het aanbieden van bugs aanbieden.
Google zegt dat het dit programma heeft geïntroduceerd in de hoop "de gemeenschap aan te moedigen ons te helpen de veiligheid voor iedereen te verbeteren". Daarom moedigt het bug-jagers die een bug ontdekken aan om het aan de app-ontwikkelaars en aan Google te melden. Dit geeft de originele app-ontwikkelaars de kans om de bug snel op te lossen. En dat betekent betere beveiliging voor iedereen die Android-apps gebruikt.
Betrokken raken bij het Bug Bounty-programma
Het Play Store bug bounty-schema wordt het Google Play Security Reward Program (GPSRP) genoemd. Google nodigt beveiligingsonderzoekers en app-ontwikkelaars uit om deel te nemen. De eerste stap is het invullen van een aanvraag om deel te nemen aan het programma. Nadat u bent goedgekeurd, kunt u in elke in aanmerking komende app in de Play Store naar beveiligingsproblemen zoeken.
Er zijn drie soorten kwetsbaarheden waarnaar deelnemers op zoek zijn. Ten eerste zijn kwetsbaarheden voor externe code-uitvoering die een hacker toegang geven tot het apparaat van een gebruiker en wijzigingen aanbrengen. Dit zijn zeer ernstige beveiligingsproblemen.
Ten tweede is er de kwestie van diefstal van onveilige privégegevens. Hier kan een hacker door een kwetsbaarheid persoonlijke informatie stelen, zoals inloginformatie, webgeschiedenis of contactlijsten.
Ten derde is er toegang tot beschermde app-componenten. Dit verwijst naar apps die functies uitvoeren waarvoor ze geen toestemming hebben. Bijvoorbeeld een app die sms-berichten verzendt, zelfs als de gebruiker hier geen toestemming voor heeft.
Het programma dekt sommige beveiligingsproblemen niet. Phishing-aanvallen komen bijvoorbeeld, hoewel potentieel gevaarlijk, niet in aanmerking. Dit komt omdat ze werken door de gebruiker te misleiden en niet door schadelijke code uit te voeren. Het programma dekt ook geen aanvallen die fysieke toegang tot een apparaat vereisen.
Zodra u een bug ontdekt, moet u contact opnemen met de ontwikkelaar van de app om ze te laten weten. Vervolgens kunt u samenwerken met de ontwikkelaar om het probleem op te lossen. Zodra het beveiligingslek is opgelost, kunt u uw geldbeloning van Google claimen.
Verdien premies voor het ontdekken van gegevensmisbruik door apps
Google biedt niet alleen beloningen voor het vinden van beveiligingsbugs. Het probeert apps te kraken die ook gebruikersgegevens stelen. Onlangs lanceerde het bedrijf zijn Developer Data Protection Reward Program (DDPRP), dat vergelijkbare beloningen biedt voor ontwikkelaars die gegevensmisbruik door apps ontdekken.
Het soort gegevensmisbruik dat het programma zoekt, zijn apps die gebruikersgegevens verzamelen en verkopen op een manier die in strijd is met het privacybeleid van Google. Dit kan bijvoorbeeld een app zijn die gegevens uit contactboeken van gebruikers verzamelt, zoals metagegevens die laten zien wie ze hebben gebeld en wanneer, zonder dit te beschermen als gevoelige gegevens.
Het zou ook betrekking hebben op apps die regels over machtigingen overtreden, zoals een app die wel toegang heeft tot sms-machtigingen, maar deze gebruikt om gegevens te verzamelen over sms-berichten van gebruikers om door te verkopen aan derden. Als alternatief zou het een app dekken die toestemming vraagt voor toegang tot contactgegevens en die gegevens vervolgens opnieuw gebruiken voor een niet-gerelateerde app.
Voor meer informatie over welke soorten gegevensmisbruik in aanmerking komen voor het programma, kunt u kijken op de DDPRP-website. Net als bij het bug bounty-programma komt elke app in de Play Store met meer dan 100 miljoen installaties in aanmerking.
De beloningen voor het ontdekken van bugs
Er worden geldbeloningen aangeboden voor zowel de bug bounty als de programma's voor gegevensmisbruik. Het bedrag dat voor een rapport wordt uitbetaald, is afhankelijk van de ernst van het probleem. Het hangt ook af van de kwaliteit van het rapport dat bij Google wordt ingediend.
De beloningen voor het Google Play Security Reward-programma variëren van $ 5.000 tot $ 20.000 voor externe uitvoering van code-bugs, van $ 1.000 tot $ 3.000 voor diefstal van onveilige privégegevens en van $ 1.000 tot $ 3.000 voor toegang tot beschermde app-componenten. Daarnaast zijn er bonussen om de kwetsbaarheden op een verantwoorde manier bekend te maken aan de ontwikkelaars van apps. Dit geeft de ontwikkelaars de mogelijkheid om het probleem te repareren.
De beloningen voor het Developer Data Protection Reward Program variëren van $ 100 tot $ 1000. Om de beloning te claimen, moet u een rapport indienen. U moet informatie schrijven over welk gegevensbeleid is geschonden, hoe gegevens zijn misbruikt en een lijst met tijden waarop de app het beleid heeft geschonden.
Verdien contant geld door beveiligingslekken te jagen
Google's bug bounty en data misbruik bounty-programma's geven je de kans om geld te verdienen. Hiermee kunt u ook helpen bij het verbeteren van de beveiliging van apps die via de Play Store worden gedistribueerd. Als u geïnteresseerd bent in meer mogelijkheden voor het zoeken naar bugs, kunt u ook programma's van andere bedrijven bekijken. Voor enkele voorbeelden, zie onze lijst met geweldige bug bounty-programma's voor het verdienen van zakgeld 25 Awesome "Bug Bounty" -programma's voor het verdienen van zakgeld 25 Awesome "Bug Bounty" -programma's voor het verdienen van zakgeld Als u expertise hebt in beveiligingsprotocollen, kunt u extra geld zoeken naar bugs in populaire apps en websites, en beloond worden met een bug bounty. Hier zijn de best betalende programma's in 2016. Lees meer.
Ontdek meer over: Android, Bug Bounty, Ethical Hacking, Google Play.
