Google начнет выплачивать исследователем безопасности вознаграждение за уязвимости, найденные в приложениях из Play Store, у которых более 100 млн загрузок. Под действие новых правил подпадают WhatsApp, Facebook, Instagram и другие популярные приложения.
Новые правила Google
Google включила в свою баунти-программу все приложения из магазина Play Store, у которых более 100 млн загрузок. Исследователи безопасности, нашедшие уязвимости в этих продуктах, могут теперь сообщить об этом в Google и получить от нее финансовое вознаграждение.
Указанные приложения были подведены под действие баунти-программы Google Play Security Reward Program (GPSRP), представленной на платформе HackerOne. До этого под программу подпадало всего восемь популярных приложений сторонних разработчиков, которые Google выбрала по частным соображениям. Это были Dropbox, Duolingo, Line, Snapchat, Tinder, Alibaba, Mail.ru и Headspace.
Теперь же для всех приложений установлен единый порог загрузок, преодоление которого по умолчанию делает их участниками GPSRP. Новые правила вступают в силу автоматически, разработчикам не нужно заключать для этого какие-то соглашения или делать что-нибудь еще. Следует отметить, что абсолютное большинство баунти-программ в мире предлагают вознаграждение только за уязвимости в продуктах той компании, которая запустила программу, а не в чужих.
Если у разработчика приложения — например, Facebook, Microsoft или Twitter — есть собственная баунти-программа, они все равно подпадают под действие новых правил GPSRP. То есть, исследователь безопасности может отправить отчет об обнаружении уязвимости и в Google, и непосредственно разработчику — и получить вознаграждение дважды.
Кого это касается
Порог загрузок на участие в GPSRP с легкостью преодолеют, например, WhatsApp, Facebook Messenger, само приложение Facebook или Microsoft Word у каждого из которых, по данным самого Play Store, более 1 млрд скачиваний. Для Excel, Instagram, мессенджера TikTok магазин выдает более 500 млн загрузок.
Google будет платить вознаграждение за уязвимости, найденные в чужих продуктах
Также по новым правилам в программу попадут сервис проверки грамматики Grammarly, сервис видеостриминга Livestream, сервис поиска скидок на покупки для путешествий Priceline, платформа для создания интернет-магазинов Shopify, платформа для просмотра видеоконтента Showmax, музыкальный сервис Spotify, шагомер Sweatcoin, сервис для поиска ресторанов Zomato и другие приложения.
Условия GPSRP
Вознаграждения будут выплачиваться согласно действующим ставкам GPSRP. Программа была запущена в 2017 г. Это не самая популярная среди исследователей баунти-программа Google: к настоящему моменту по ней выплачено всего $265 тыс., в то время как по другим программам Google успела выплатить миллионы долларов.
По условиям GPSRP, за обнаружение уязвимости, позволяющей удаленно исполнить код, исследователь получает $20 тыс. За брешь, через которую можно украсть данные, Google платит $3 тыс., и столько же за возможность доступа к защищенным компонентам приложений. Возможность атаки незащищенных соединений по схеме «человек посередине», незащищенная обработка ссылок или перенаправление URL, приводящее к фишингу, оценивается в $500.
В первые годы существования GPSRP расценки были существенно ниже — за уязвимость с возможностью исполнения удаленного кода предлагалось всего $5 тыс. Google подняла тарифы в июле 2019 г., чтобы привлечь в программу больше участников.
Сканирование приложений
Отчеты об уязвимостях, поступающие в GPSRP, Google каталогизирует и включает в систему App Security Improvement (ASI), которая сканирует другие приложения Play Store на наличие таких же уязвимостей. Это помогает компании извлечь максимальную выгоду из GPSRP.
Если ASI нашла в другом приложении точно такую же уязвимость, что и в отчете GPSRP, разработчик получает об этом сообщение через консоль Play Store. Он обязан устранить брешь, или же его приложение будет удалено из магазина.
За время своего существования ASI нашла уязвимости более чем в 1 млн приложений от 300 тыс. разработчиков. Отдельно в 2018 г. система обнаружила баги в 75 тыс. приложений от 30 тыс. разработчиков.