Google запустила баг-баунти в магазине приложений Google Play

Компания Google долгое время поддерживает тесное сотрудничество с сообществом по исследованию безопасности Интернета. Компания в своё время начала организовывать специальные программы вознаграждения пользователей, нашедших ошибки в разработанных Google веб-страницах и приложениях, в браузере Chrome и ОС Chrome, в последних версиях Android для смартфонов линейки Pixel.

По заявлениям самой Google, эти программы оказались успешны и помогли найти сотни уязвимостей в продуктах. В качестве поощрений и вознаграждений были выплачены миллионы долларов.

Bug Bounty для Google Play

Теперь пришло время запуска подобной программы и для магазина приложений Google Play. Программа получила название Google Play Security Reward Program и была разработана совместно с Bug Bounty-платформой HackerOne. Правила участия в программе и критерии оценки важности уязвимостей описаны на странице программы.

Заметим, что выплаты в размере до $1000 будут осуществлены только при соблюдении правил платформы и за нахождение уязвимостей только среди приложений 8 разработчиков, участвующих в программе: Alibaba, Dropbox, Duolingo, Headspace, Line, Mail.Ru, Snapchat и Tinder. В дальнейшем этот список обещают расширить.

В случае обнаружения уязвимости в одном из предложенных продуктов Google обещает самостоятельно проверить все остальные приложения в Google Play на наличие этой ошибки и, в случае необходимости, уведомить о проблеме разработчиков.

Bug Bounty от GitHub

Напомним, что своё участие в ежегодном соревновании по хакингу Hack the World недавно подтвердила GitHub. Однако, Bug Bounty-программа от GitHub очень сильно отличается от предложенной Google. В отличие от интернет-гиганта, GitHub имеет широкое ранжирование выплат за поиск уязвимостей в своих продуктов — от $500 до $20 000.