Connectez-vous avec nous

Ordinateurs et informatique

Google augmente les primes de bugs Play Store

Google facilite la tâche des chercheurs en sécurité qui recherchent des bogues sur le Play Store en élargissant la portée de son programme de récompense de sécurité Google Play (GPSRP) à toutes les applications de son magasin comptant plus de 100 millions d'installations.

Le géant de la recherche a également lancé un nouveau programme en collaboration avec HackerOne, le programme DDPRP (Developer Data Protection Award), qui vise à détecter les abus de données dans les applications Android, les projets OAuth et les extensions Chrome.

Depuis le lancement de son programme de primes pour les bogues en 2010, Google a déjà versé plus de 15 millions de dollars aux chercheurs en sécurité et GPSRP a déjà versé plus de 256 000 dollars en primes. En ajoutant des applications Android populaires au programme, la société les rend éligibles aux récompenses, que les développeurs de l'application aient leur propre programme de divulgation de vulnérabilités ou leur programme de primes de bogues.

En échange du paiement d'une prime de bug, Google utilisera les données de vulnérabilité collectées par les chercheurs en sécurité pour créer des contrôles automatisés qui analysent toutes les applications du Play Store à la recherche de vulnérabilités similaires. Les développeurs dont les applications contiennent des bogues sont informés via Play Console et le programme ASI (App Security Improvement) leur fourniront des informations sur la vulnérabilité et sur la façon de la réparer. En février dernier, Google avait révélé qu'ASI avait déjà aidé plus de 300 000 développeurs à réparer plus d'un million d'applications sur Google Play.

Programme de récompense Developer Data Protection

Outre le développement de son programme actuel de tarification des bogues sur Android, Google a également lancé DDPRP pour identifier et limiter les problèmes d’abus de données dans les applications Android, les projets OAuth et les extensions Chrome. Au lieu de détecter les vulnérabilités, ce programme récompensera les chercheurs en sécurité qui trouveront et signaleront les applications ayant enfreint les règles du programme Google Play, Google API ou les extensions du Web Store Chrome.

Ceux qui peuvent trouver des preuves d'abus de données vérifiables pourraient être payés. Sur la page DDPRP du site Web de HackerOne, Google met en évidence les applications qui accèdent aux contacts d'un utilisateur et ne traite pas ces données comme des données personnelles ou sensibles, ainsi que les applications qui violent sa stratégie de permission en utilisant des données de contact sans la permission de l'utilisateur pour un autre service sans rapport avec. l'application d'origine.

La société n’a pas fourni de récompense maximale, mais en fonction de son impact, un seul rapport pouvait rapporter à un chercheur en sécurité une prime de 50 000 dollars.

Les applications Android et les extensions Chrome qui abusent des données de l'utilisateur seront supprimées de leurs magasins respectifs. Si un développeur abuse également de l'accès aux portées restreintes de Gmail, son accès à l'API sera supprimé.

Via VentureBeat

Les offres de produits Hi-tech en rapport avec cet article

Continuer la lecture
Cliquez pour commenter

Laissez un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

ARTICLES POPULAIRES