Comment gagner de l'argent en trouvant des problèmes de sécurité dans les applications Android

Publicité

Si vous êtes un développeur d'applications Android avec un nez pour traquer les problèmes de sécurité, vous pourriez être payé pour prêter vos compétences à Google. Les pirates ont réussi à installer des applications infectées par des logiciels malveillants sur le Google Play Store, dont certaines ont reçu des millions de téléchargements.

En réponse, Google a ouvert son programme de correction de bogues qui permet aux développeurs de rechercher des problèmes de sécurité dans les applications courantes. Auparavant, seules quelques applications étaient couvertes. Maintenant, toutes les applications Play Store populaires font partie du programme. Le programme verse des récompenses en espèces aux développeurs qui détectent et signalent des problèmes de sécurité.

Pourquoi Google a un programme de Bug Bounty

Google a depuis longtemps un programme de bug bug pour ses propres applications. Comme de nombreuses entreprises, Google offre des récompenses aux développeurs qui découvrent des problèmes dans ses sites Web

Google vous paiera 100 $ + si vous venez de les aiderGoogle a versé des centaines de milliers de dollars aux utilisateurs réguliers pour avoir fait une chose simple. Lire la suite . Il offre également des récompenses pour trouver des bogues dans son navigateur Chrome ou son système d'exploitation Chrome. Mais récemment, il a pris la mesure la plus radicale d'offrir des récompenses pour les bogues trouvés dans les applications d'autres sociétés.

La première itération du programme de primes de bogue du Play Store ne s'appliquait qu'à un très petit nombre d'applications de premier plan. Maintenant, Google a étendu le programme pour couvrir toutes les applications du Play Store avec plus de 100 millions d'installations. Cela signifie qu'il existe de nombreuses autres opportunités pour les chasseurs de bogues de découvrir des problèmes dans les applications Play Store et être récompensé pour les avoir signalés, même si les développeurs d'applications n'offrent pas leur propre prime de bogue programmes.

Google a déclaré avoir introduit ce programme dans l'espoir «d'encourager la communauté à nous aider à améliorer la sécurité de chacun». Par conséquent, il encourage les chasseurs de bogues qui découvrent un bogue à le signaler aux développeurs d'applications ainsi qu'à Google. Cela donne aux développeurs de l'application d'origine la possibilité de corriger rapidement le bogue. Et cela signifie une meilleure sécurité pour tous ceux qui utilisent des applications Android.

Comment s'impliquer dans le programme Bug Bounty

Le système de primes de bogue du Play Store est appelé Programme de récompenses de sécurité Google Play (GPSRP). Google invite les chercheurs en sécurité et les développeurs d'applications à participer. La première étape consiste à remplir un application pour rejoindre le programme. Vous pouvez rechercher des problèmes de sécurité dans n'importe quelle application éligible sur le Play Store une fois que vous avez été approuvé.

Les participants recherchent trois types de vulnérabilité. Premièrement, les vulnérabilités d'exécution de code à distance sont celles qui permettent à un pirate d'accéder à l'appareil d'un utilisateur et d'apporter des modifications. Ce sont des problèmes de sécurité très graves.

Deuxièmement, il y a le problème du vol de données privées non sécurisées. C'est là qu'une vulnérabilité permet à un pirate de voler des informations personnelles telles que les informations de connexion, l'historique Web ou les listes de contacts.

Troisièmement, il y a accès aux composants d'applications protégés. Cela fait référence aux applications qui exécutent des fonctions pour lesquelles elles ne sont pas autorisées. Par exemple, une application qui envoie des SMS même si elle n'a pas l'autorisation de l'utilisateur pour le faire.

Le programme ne couvre pas certains problèmes de sécurité. Par exemple, les attaques de phishing, bien que potentiellement dangereuses, ne sont pas admissibles. En effet, ils fonctionnent en trompant l'utilisateur et non en exécutant du code malveillant. Le programme ne couvre pas non plus les attaques qui nécessitent un accès physique à un appareil.

Une fois que vous avez découvert un bogue, vous devez contacter le développeur de l'application pour le lui faire savoir. Ensuite, vous pouvez travailler avec le développeur pour résoudre le problème. Une fois la vulnérabilité résolue, vous pouvez réclamer votre récompense en espèces à Google.

Gagnez des primes pour découvrir les abus de données par les applications

Google n'offre pas seulement des récompenses pour trouver des bogues de sécurité. Il essaie de sévir contre les applications qui volent également les données des utilisateurs. Récemment, la société a lancé son Programme de récompense pour la protection des données des développeurs (DDPRP) qui offre des récompenses similaires aux développeurs qui découvrent l'abus de données par les applications.

Les types d'abus de données que le programme recherche sont des applications qui collectent et vendent des données utilisateur d'une manière contraire aux politiques de confidentialité de Google. Par exemple, il peut s'agir d'une application qui collecte des données à partir des contacts des utilisateurs, telles que des métadonnées montrant qui ils ont appelé et quand, sans les protéger en tant que données sensibles.

Il couvrirait également les applications qui violent les règles sur les autorisations, telles qu'une application qui a accès aux autorisations SMS, mais l'utilise pour collecter des données sur les messages SMS des utilisateurs à vendre à des tiers des soirées. Alternativement, il couvrirait une application qui demande la permission d'accéder aux données de contact, puis réutilise ces données pour une application non liée.

Pour voir plus de détails sur les types d'abus de données admissibles au programme, vous pouvez consulter le Site Web du DDPRP. Comme avec le programme de bug bounty, toute application sur le Play Store avec plus de 100 millions d'installations est éligible.

Les récompenses offertes pour la découverte de bogues

Il existe des récompenses en espèces pour la prime aux bogues et les programmes d'abus de données. Le montant payé pour un rapport dépend de la gravité du problème. Cela dépend également de la qualité du rapport soumis à Google.

Les récompenses pour le programme de récompenses de sécurité Google Play varient de 5 000 $ à 20 000 $ pour les bogues d'exécution de code à distance, de 1 000 $ à 3 000 $ pour le vol de données privées non sécurisées et de 1 000 $ à 3 000 $ pour l'accès à une application protégée Composants. De plus, il existe des bonus pour divulguer les vulnérabilités aux développeurs d'applications de manière responsable. Cela donne aux développeurs la possibilité de corriger le problème.

Les récompenses pour le programme de récompenses pour la protection des données des développeurs vont de 100 $ à 1000 $. Pour réclamer la récompense, vous devrez soumettre un rapport. Vous devez écrire des informations sur la politique de données qui a été violée, comment les données ont été utilisées abusivement et une liste de fois où l'application a violé les politiques.

Gagnez de l'argent en chassant les vulnérabilités de sécurité

Les programmes de primes aux bogues et d'abus de données de Google vous permettent de gagner de l'argent. Ils vous permettent également d'améliorer la sécurité des applications distribuées via le Play Store. Si vous êtes intéressé par davantage de possibilités de recherche de bogues, vous pouvez également consulter les programmes d'autres sociétés. Pour quelques exemples, consultez notre liste de programmes de primes de bogues impressionnants pour gagner de l'argent de poche 25 programmes géniaux "Bug Bounty" pour gagner de l'argent de pocheSi vous avez une expertise dans les protocoles de sécurité, vous pourriez gagner de l'argent supplémentaire en recherchant les bogues dans les applications et les sites Web populaires, et en étant récompensé par une prime aux bogues. Voici les programmes les mieux payés en 2016. Lire la suite .