Publicado por Adam Bacchus, Sebastian Porst y Patrick Mutchler – Seguridad y privacidad de Android
(Publicación cruzada de Web site de desarrolladores de Android)
Estamos constantemente buscando formas de mejorar aún más la seguridad y la privacidad de nuestros productos y los ecosistemas que admiten. En Google, comprendemos la fortaleza de las plataformas y ecosistemas abiertos, y que las mejores suggestions no siempre provienen del inside. Es por esta razón que ofrecemos una amplia gama de programas de recompensa por vulnerabilidad, alentando a la comunidad a ayudarnos a mejorar la seguridad para todos. Hoy, estamos ampliando esos esfuerzos con algunos grandes cambios para Programa de recompensa de seguridad de Google Participate in (GPSRP), así como el lanzamiento de la nueva Programa de recompensa de protección de datos de desarrollador (DDPRP).
El alcance del programa de recompensas de seguridad de Google Engage in aumenta
Estamos aumentando el alcance de GPSRP para incluir todas las aplicaciones en Google Perform con 100 millones o más de instalaciones. Estas aplicaciones ahora son elegibles para recompensas, incluso si los desarrolladores de la aplicación no tienen su propia divulgación de vulnerabilidad o programa de recompensa por errores. En estos escenarios, Google ayuda a revelar de manera responsable las vulnerabilidades identificadas al desarrollador de la aplicación afectada. Esto abre la puerta para que los investigadores de seguridad ayuden a cientos de organizaciones a identificar y corregir vulnerabilidades en sus aplicaciones. Si los desarrolladores ya tienen sus propios programas, los investigadores pueden obtener recompensas directamente de ellos además de las recompensas de Google. Alentamos a los desarrolladores de aplicaciones a que comiencen su propio programa de divulgación de vulnerabilidades o recompensas de errores para trabajar directamente con la comunidad de investigadores de seguridad.
Los datos de vulnerabilidad de GPSRP ayudan a Google a crear controles automáticos que analizan todas las aplicaciones disponibles en Google Engage in en busca de vulnerabilidades similares. Los desarrolladores de aplicaciones afectados reciben una notificación a través de Enjoy Console como parte de Mejora de seguridad de aplicaciones (ASI) programa, que proporciona información sobre la vulnerabilidad y cómo solucionarlo. Durante su vida útil, ASI ha ayudado a más de 300,000 desarrolladores a arreglar más de 1,000,000 de aplicaciones en Google Enjoy. Solo en 2018, el programa ayudó a más de 30,000 desarrolladores a reparar más de 75,000 aplicaciones. El efecto posterior significa que esas 75,000 aplicaciones vulnerables no se distribuyen a los usuarios hasta que se solucione el problema.
Hasta la fecha, GPSRP ha pagado más de $ 265,000 en recompensas. Alcance reciente y la recompensa aumenta han resultado en $ 75,500 en recompensas solo en julio y agosto. Con estos cambios, anticipamos una mayor participación de la comunidad de investigación de seguridad para impulsar el éxito del programa.
Presentamos el Programa de recompensa de protección de datos de desarrollador
Hoy, también estamos lanzando el Programa de recompensa de protección de datos de desarrollador. DDPRP es un programa de recompensas, en colaboración con HackerOne, destinado a identificar y mitigar problemas de abuso de datos en aplicaciones de Android, proyectos OAuth y extensiones de Chrome. Eso reconoce las contribuciones de personas que ayudan a informar aplicaciones que están violando las políticas del programa Google Participate in, API de Google o Extensiones de Google Chrome World-wide-web Store.
El programa tiene como objetivo recompensar a cualquiera que pueda proporcionar evidencia verificable e inequívoca de abuso de datos, en un modelo related al de otros programas de recompensa de vulnerabilidad de Google. En specific, el programa tiene como objetivo identificar situaciones en las que los datos del usuario se usan o venden inesperadamente, o se reutilizan de forma ilegítima sin el consentimiento del usuario. Si se identifica un abuso de datos relacionado con una aplicación o extensión de Chrome, esa aplicación o extensión se eliminará de Google Perform o Google Chrome Internet Keep. En el caso de un desarrollador de aplicaciones que abusa del acceso a los ámbitos restringidos de Gmail, se eliminará su acceso a la API. Si bien no hay una tabla de recompensas o una recompensa máxima en este momento, dependiendo del impacto, un solo informe podría generar una recompensa de $ 50,000.
A medida que el 2019 continúa, esperamos ver lo que los investigadores encontrarán a continuación. Gracias a toda la comunidad por contribuir a mantener seguras nuestras plataformas y ecosistemas. ¡Feliz caza de insectos!
