Projekt nazvaný „Developer Data Protection Reward Program“ (DDPRP) odmění odborníky v oblasti bezpečnosti, i hackery, kteří najdou „ověřitelné a jednoznačné důkazy“ o zneužívání dat v aplikacích Android, projektech OAuth a v rozšířeních pro Chrome.
Dále bude rozšířen „Google Play Security Rewards Program“ (GPSRP) tak, aby obsahoval všechny aplikace z Play Store s více než 100 miliony instalacemi – to by mělo pomoci vývojářům aplikací opravit zranitelnosti díky „zodpovědnému odhalení“.
Získejte odměnu za nalezení škodlivých aplikací pro Android a Chrome
Cílem programu odměňování je zabránit skandálům, jako byl Cambridge Analytica, který zasáhl Facebook pokutami ve výši pěti miliard USD. Společnost selhala, protože nedovedla dostatečně identifikovat situace, kdy mohou být uživatelská data neočekávaně použita, prodána nebo neoprávněně zneužita bez souhlasu uživatele.
Google na svém blogu sdělil, že pokud se zjistí zneužití dat související s aplikacemi nebo rozšířeními pro Chrome, tyto budou odstraněny z Google Play nebo z Internetového obchodu Chrome. V případě, vývojář aplikace zneužije Gmail restricted scopes, bude jeho API přístup zrušen.
Google nezveřejnil nabídku odměn za DDPRP, ale ujistil veřejnost, že jediné nahlášení zranitelnosti může ohlašovateli vydělat až 50 000 USD – v závislosti na jejím dopadu.
Odměna za ohlášení zranitelnosti se týká všech Android aplikací s více než 100 miliony staženími
Program GPSRP, spuštěný v roce 2017, byl omezen pouze na hlášení zranitelností v oblíbených aplikacích pro Android v obchodě Google Play.
Podle nedávného oznámení však společnost Google bude spolupracovat s vývojáři stovek tisíc aplikací pro Android, které byly stažené uživateli minimálně stomilionkrát. Tato spolupráce zprostředkuje vývojářům reporty o zranitelnosti spolu s pokyny, jak je opravit.
Google informoval o tom, že nyní spadají do jeho programu odměňování i aplikace, jejichž vývojáři nemají vytvořený svůj vlastní program odměn pro odhalování zranitelností. Pokud vývojáři podobným programem disponují, mohou ohlašovatelé získat odměnu nejen od nich, ale i od Googlu.
Iniciativa, která je součástí programu „Google’s App Security Improvement“ (ASI), již pomohla více než 300 000 vývojářům opravit více než milion aplikací v Google Play Store.
Doufejme, že tato opatření umožní Googlu odhalit škodlivé aplikace pro Android i rozšíření pro Chrome, aby nedocházelo ke zneužívání dat uživatelů. Stejně tak by se mohlo zlepšit zabezpečení aplikací, které jsou distribuované prostřednictvím Play Store.
Zdroj: The Hacker News