Google заплатит $1000 за каждую уязвимость в Android-приложениях

Когда создатели вредоносных программ становятся более агрессивными и изощренными, ряд технологических компаний в последние годы практикуют программы «Bug Bounty», которые предоставляют денежные вознаграждения любому человеку или группе, которая раскрывает критические уязвимости в программном обеспечении. В течение многих лет у Google была программа исправления ошибок, но поисковый гигант теперь расширяет сферу охвата программы за пределы собственного программного обеспечения, разработанного внутри компании.

Новая программа Google Bug Bounty теперь стимулирует хакеров находить уязвимости программного обеспечения в некоторых наиболее популярных сторонних приложениях в Google Play. Новая программа, по-видимому, приведет к созданию более безопасных приложений для Android, а также к сокращению ущерба при обнаружении серьезной проблемы. Хотя, возможно, это не широко распространенное явление, но все же мы уже не удивляемся, когда видим сообщения о вредоносном ПО, заразившего широко распространенные приложения для Android.

Для тех, кто справится с новой задачей Google, за каждую проверенную уязвимость программного обеспечения будут выплачены $1000. Критерии уязвимости приведены ниже:

На данный момент область действия этой программы ограничена уязвимостями RCE (удаленное выполнение кода) и соответствующими доказательствами концепции (Proof-of-concept), которые работают на устройствах Android 4.4 и выше.

Это касается любой уязвимости RCE, которая позволяет злоумышленнику запускать код по своему выбору на устройстве пользователя без какого-либо ведома пользователя или его разрешения. Примеры:

Атакующий получает полный контроль, что означает, что код можно загрузить из сети и выполнить (загрузить и выполнить произвольный код, нативный код, Java-код и т. д.).
Манипуляция интерфейсом пользователя для совершения транзакции. Например, злоумышленник заставляет банковское приложение совершать денежные переводы от имени пользователя без его фактического согласия.
Запуск веб-просмотра, которое может привести к фишинг-атакам или запуск веб-просмотра без ввода данных или взаимодействия со стороны пользователя.
Не требуется, чтобы изолированная программная среда ОС была обойдена.

Примечательно, что новая программа исправления ошибок в том виде, в котором она находится в настоящее время, применима только к разрабатываемым компанией Google Android-приложениям и следующим сторонним приложениям: Alibaba, Dropbox, Duolingo, Headspace, Line, Mail.Ru, Snapchat и Tinder. Однако, в скором времени программа может расшириться и на другие сторонние приложения.