Google заплатит $1 тыс. за баги в популярных приложениях

Новости информационной безопасности




Google заплатит $1 тыс. за баги в популярных приложениях

Компания Google запустила долгожданную программу по поиску уязвимостей в популярных мобильных приложениях, размещенных в ее официальном магазине. Участие в новой bug bounty могут принять все желающие, кроме жителей стран, подпадающих под санкции США.

По условиям новой программы соискатели награды в 1 тыс. долларов должны с самого начала работать в тесном взаимодействии с разработчиками программ, используя платформу HackerOne. «Мы приглашаем разработчиков популярных Android-приложений присоединиться по умолчанию к программе, призванной стимулировать ИБ-исследования на основе модели bug bounty, — пишет Google в анонсе. — Целью данной программы является дальнейшее повышение безопасности приложений, от которого выиграют разработчики, пользователи Android и вся экосистема Google Play».

По замыслу Google, участник bug bounty вначале должен сообщить о находке напрямую разработчику. Когда тот подтвердит наличие уязвимости и создаст патч, исследователь может подать заявку на выплату денежной премии в рамках программы Google.

Предметная область новой bug bounty пока ограничена багами удаленного исполнения кода на устройствах, работающих под Android 4.4 и более поздних версий. Награды будут присуждаться за уязвимости, позволяющие загрузить и выполнить код на чужом мобильном устройстве или манипулировать интерфейсом пользователя для проведения транзакций, а также за связанные с Android WebView бреши, грозящие фишингом вследствие активации веб-представления без участия пользователя. Исключение составляют уязвимости, эксплуатация которых требует согласованных действий приложений или установки дополнительной программы.

В стартовый список продуктов, подлежащих исследованию, входят разработки Google, а также широко используемые приложения от Alibaba, Dropbox, Duolingo, Headspace, Line, Mail.Ru, Snapchat и Tinder. Список сторонних программ со временем будет расширен, как и перечень уязвимостей, обнаружение которых достойно вознаграждения.

Новая bug bounty не распространяется на adware, spyware и рутовальщиков — классы программ, которые в этом году доставили много хлопот Google и пользователям ее продуктов. Так, в марте с Google Play были вычищены 132 приложения со скрытыми iFrame, привязанными к вредоносным доменам. По приблизительным оценкам, скомпрометированные программы были совокупно скачаны 250 тыс. раз.

В том же месяце из магазина Google пришлось изгонять adware-зловреда, раздаваемого вместе с легитимными программами. В апреле на Google Play был выявлен шпион SMSVova, скрывавшийся в приложении System Update; его использование позволяло злоумышленникам подменять пароли и отслеживать местоположение Android-устройства. Еще одна программа-шпион — SonicSpy — объявилась совсем недавно, в августе; ею были заражены три мессенджера на Google Play, а также порядка тысячи приложений в сторонних магазинах.

Напомним, в мае Google обновила систему безопасности Android, анонсировав сервис Google Play Protect, который сканирует установленные ранее программы на предмет появления вредоносного кода. Нововведение позволяет повысить безопасность приложений, загруженных не только из Google Play, но также из сторонних магазинов, на которые не распространяется проверка Verify Apps. Сервис Google Play Protect также был реализован как ключевая мера безопасности в Android 8.0 (Oreo) наряду с Project Treble. Эти нововведения призваны урегулировать процесс обновления и установки патчей, который из-за фрагментации Android-экосистемы подрывает безопасность этой ОС.

Дата: 2017-10-20 16:19:07

Источник: https://threatpost.ru/google-play-bounty-promises-1000-rewards-for-flaws-in-popular-apps/22886/

кибероборона,уязвимости,android,bug bounty,google,google play,интернет-магазины,мобильные приложения