Rambler's Top100
Все новости Новости компаний

Google заплатит за уязвимости, найденные в Facebook, Instagram и WhatsApp

30 августа 2019

Google включила в свою баунти-программу все приложения из магазина Play Store, у которых более 100 млн загрузок. Исследователи безопасности, нашедшие уязвимости в этих продуктах, могут теперь сообщить об этом в Google и получить от нее финансовое вознаграждение.

Указанные приложения были подведены под действие баунти-программы Google Play Security Reward Program (GPSRP), представленной на платформе HackerOne. До этого под программу подпадало всего восемь популярных приложений сторонних разработчиков, которые Google выбрала по частным соображениям. Это были Dropbox, Duolingo, Line, Snapchat, Tinder, Alibaba, Mail.ru и Headspace.

Теперь же для всех приложений установлен единый порог загрузок, преодоление которого по умолчанию делает их участниками GPSRP. Новые правила вступают в силу автоматически, разработчикам не нужно заключать для этого какие-то соглашения или делать что-нибудь еще. Следует отметить, что абсолютное большинство баунти-программ в мире предлагают вознаграждение только за уязвимости в продуктах той компании, которая запустила программу, а не в чужих.

Если у разработчика приложения — например, Facebook, Microsoft или Twitter — есть собственная баунти-программа, они все равно подпадают под действие новых правил GPSRP. То есть, исследователь безопасности может отправить отчет об обнаружении уязвимости и в Google, и непосредственно разработчику — и получить вознаграждение дважды.

Порог загрузок на участие в GPSRP с легкостью преодолеют, например, WhatsApp, Facebook Messenger, само приложение Facebook или Microsoft Word у каждого из которых, по данным самого Play Store, более 1 млрд скачиваний. Для Excel, Instagram, мессенджера TikTok магазин выдает более 500 млн загрузок.

Также по новым правилам в программу попадут сервис проверки грамматики Grammarly, сервис видеостриминга Livestream, сервис поиска скидок на покупки для путешествий Priceline, платформа для создания интернет-магазинов Shopify, платформа для просмотра видеоконтента Showmax, музыкальный сервис Spotify, шагомер Sweatcoin, сервис для поиска ресторанов Zomato и другие приложения.

Вознаграждения будут выплачиваться согласно действующим ставкам GPSRP. Программа была запущена в 2017 г. Это не самая популярная среди исследователей баунти-программа Google: к настоящему моменту по ней выплачено всего $265 тыс., в то время как по другим программам Google успела выплатить миллионы долларов.

По условиям GPSRP, за обнаружение уязвимости, позволяющей удаленно исполнить код, исследователь получает $20 тыс. За брешь, через которую можно украсть данные, Google платит $3 тыс., и столько же за возможность доступа к защищенным компонентам приложений. Возможность атаки незащищенных соединений по схеме «человек посередине», незащищенная обработка ссылок или перенаправление URL, приводящее к фишингу, оценивается в $500.

В первые годы существования GPSRP расценки были существенно ниже — за уязвимость с возможностью исполнения удаленного кода предлагалось всего $5 тыс. Google подняла тарифы в июле 2019 г., чтобы привлечь в программу больше участников.

Отчеты об уязвимостях, поступающие в GPSRP, Google каталогизирует и включает в систему App Security Improvement (ASI), которая сканирует другие приложения Play Store на наличие таких же уязвимостей. Это помогает компании извлечь максимальную выгоду из GPSRP.

Если ASI нашла в другом приложении точно такую же уязвимость, что и в отчете GPSRP, разработчик получает об этом сообщение через консоль Play Store. Он обязан устранить брешь, или же его приложение будет удалено из магазина.

За время своего существования ASI нашла уязвимости более чем в 1 млн приложений от 300 тыс. разработчиков. Отдельно в 2018 г. система обнаружила баги в 75 тыс. приложений от 30 тыс. разработчиков.

Источник: CNews

Поделиться:
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!

Оставить свой комментарий:

Для комментирования необходимо авторизоваться!

Комментарии по материалу

Данный материал еще не комментировался.