Η Google πληρώνει για το χακάρισμα κορυφαίων Android Apps
Η Google έχει ξεκινήσει ένα πρόγραμμα bug bounty αλλά αυτή τη φορά δεν απευθύνεται μόνο σε δικές της εφαρμογές, αλλά και σε εκείνες που αναπτύσσονται από εταιρείες τρίτων και δημοσιεύονται στο Play Store. Η νέα προσπάθεια της Google ονομάζεται Play Security Reward Program και καλεί τους hacker να εντοπίσουν ελαττώματα εκτέλεσης απομακρυσμένου κώδικα (RCE) σε συγκεκριμένες δημοφιλείς…
Η Google έχει ξεκινήσει ένα πρόγραμμα bug bounty αλλά αυτή τη φορά δεν απευθύνεται μόνο σε δικές της εφαρμογές, αλλά και σε εκείνες που αναπτύσσονται από εταιρείες τρίτων και δημοσιεύονται στο Play Store.
Η νέα προσπάθεια της Google ονομάζεται Play Security Reward Program και καλεί τους hacker να εντοπίσουν ελαττώματα εκτέλεσης απομακρυσμένου κώδικα (RCE) σε συγκεκριμένες δημοφιλείς εφαρμογές Android που εκτελούνται με Android 4.4 και νεότερες εκδόσεις.
Προς το παρόν, μόνο οκτώ διαφορετικοί προγραμματιστές έχουν εγκριθεί για το πρόγραμμα, όπως το Alibaba, το Dropbox, το Duolingo, το Headspace, το Line, το Mail.ru, το Snapchat και το Tinder, αλλά η Google αναφέρει ότι συνεργάζεται με περισσότερους κατασκευαστές εφαρμογών για την επέκταση του προγράμματος.
Παρόλο που οι εφαρμογές της Google αποτελούν επίσης μέρος του νέου προγράμματος Bounty bug η εταιρεία εξηγεί ότι οι υποβολές πρέπει να περιλαμβάνουν απόδειξη των εννοιών και να καταδεικνύουν πώς ένας εισβολέας μπορεί να αποκτήσει τον πλήρη έλεγχο μιας συσκευής. Η παράκαμψη του OS sandbox δεν αποτελεί προϋπόθεση.
Ο νικητής του προγράμματος θα ανταμειφθεί με 1.000 δολάρια και σύμφωνα με αναφορές οι ερευνητές πρέπει να συνεργαστούν με τους προγραμματιστές εφαρμογών για να επιλύσουν την ευπάθεια. Αν το λάθος επιδιορθωθεί με επιτυχία, η ομάδα ασφάλειας Android προσφέρει ανταμοιβή στον ερευνητή.
Από το πρόγραμμα αυτό δεν θα επωφεληθούν μόνο οι προγραμματιστές και οι εφαρμογές αλλά και ολόκληρο το οικοσύστημα Android.
Η Google σκοπεύει να επεκτείνει το πρόγραμμα για να καλύψει ακόμα περισσότερες αδυναμίες και συνιστά στους προγραμματιστές που δεν έχουν λάβει ακόμα συμμετοχή να έλθουν σε επαφή με συνεργάτη του Google Play για να μάθουν πώς μπορούν να προσθέσουν τις εφαρμογές τους στο Play Security Reward Program.
https://secnews.gr/161521/google-plironei-xakaris-android-apps/
