Wzrost wysokości nagród za odnajdowanie błędów w aplikacjach ma skłonić użytkowników do bardziej aktywnego szukania luk, co jednocześnie podniesie poziom bezpieczeństwa całej platformy Android. Są już pierwsze efekty.
Google chce, aby użytkownicy Androida czuli, że jest to platforma jest bezpieczna. Internetowy gigant jest świadom, że zaufanie ludzi może zostać podważone, kiedy media są pełne nagłówków o atakach i włamaniach. Dlatego też firma z Moutain View postanowiła rozszerzyć swój program wsparcia dla użytkowników, którzy aktywnie poszukują i znajdują luki bezpieczeństwa. Program nagradza badaczy bezpieczeństwa, którzy odpowiedzialnie ujawniają luki w zabezpieczeniach, aby mogły zostać one załatane tak szybko, jak to możliwe.
Google poinformowało, że zmienia swój program Google Play Security Reward Program (GPSRP), aby nie tylko obejmował własne produkty, ale dodatkowo wszystkie aplikacje w oficjalnym sklepie Google Play, które miały co najmniej 100 milionów instalacji. Innymi słowy, jeśli znajdziesz poważną lukę w zabezpieczeniach w popularnej aplikacji na Androida, możesz skontaktować się z Google, a nie z twórcą aplikacji, a Google nie tylko powiadomi programistę o wadach, ale także zapłaci za Twoją pracę. I to wcale niemało.
Chociaż Google zachęca twórców aplikacji do uruchamiania swoich wersji podobnych programów, nie wszyscy (czyt. mało kto) sięgają po własne środki do finansowania podobnych działań. Dzięki zmianom w programie Google’a wszystkie popularne aplikacje na Androida (z co najmniej 100 milionami instalacji) są teraz automatycznie kwalifikowalne do GPSRP i, przynajmniej teoretycznie, są bardziej bezpieczne.
„To otwiera drzwi dla badaczy bezpieczeństwa, którzy pomagają setkom organizacji zidentyfikować i naprawić luki w swoich aplikacjach” – napisali Adam Bacchus, Sebastian Porst i Patrick Mutchler z grupy Google ds. Bezpieczeństwa i Prywatności w Google. „Kiedy twórcy aplikacji będą mieli już własne programy, badacze będą mogli zbierać nagrody bezpośrednio od nich, ale także od Google”.
Google twierdzi, że pomógł już ponad 300 000 twórcom aplikacji naprawić błędy w około milionie aplikacji na Androida w Google Play, wypłacając dotychczas 265 000 USD. Wzrost oferowanych nagród spowodował, że Google wypłaciło 75 500 USD w ciągu ostatnich kilku miesięcy.
Ponadto Google ogłosiło nową inicjatywę: program premiowania ochrony danych programistów (DDPRP) . DDPRP to kolejny program premiowy, ale tym razem zbudowany specjalnie w celu zidentyfikowania i złagodzenia „problemów związanych z nadużyciami danych w aplikacjach na Androida, projektach OAuth i rozszerzeniach do Chrome”. W szczególności program ma na celu identyfikację sytuacji, w których dane użytkownika są nieoczekiwanie wykorzystywane, sprzedawane lub zmieniane w nielegalny sposób bez zgody użytkownika. Według Google pojedynczy raport DDPRP może przynieść badaczowi nagrodę w wysokości nawet 50 000 USD.
To dobre działanie ze strony Google. Firma dba tym samym o bezpieczeństwo użytkowników, ale i wizerunek całej platformy. Szkoda jednak, że o bezpieczeństwie najczęściej myślimy kiedy dojdzie już do jego naruszenia.
https://itreseller.com.pl/itrnewkiedy-jest-juz-za-pozno-ponad-50-zadan-reagowania-na-incydenty-ma-miejsce-po-wystapieniu-szkody-w-wyniku-cyberzagrozenia/
