Anuncio
Si usted es un desarrollador de aplicaciones de Android con un buen olfato para buscar problemas de seguridad, podría recibir un pago por prestar sus habilidades a Google. Los hackers han logrado plantar aplicaciones infectadas con malware en Google Play Store, algunas de las cuales obtuvieron millones de descargas.
En respuesta, Google ha abierto su programa de recompensas de errores que permite a los desarrolladores buscar problemas de seguridad en aplicaciones comunes. Anteriormente solo se cubrían algunas aplicaciones. Ahora, todas las aplicaciones populares de Play Store son parte del programa. El programa paga recompensas en efectivo para desarrolladores que encuentran e informan problemas de seguridad.
Por qué Google tiene un programa de recompensas de errores
Google ha tenido un programa de recompensas de errores para sus propias aplicaciones durante mucho tiempo. Al igual que muchas empresas, Google ofrece recompensas a los desarrolladores que descubren problemas en sus sitios web
Google le pagará $ 100 + si solo los ayudaGoogle ha pagado cientos de miles de dólares a usuarios habituales por hacer una cosa simple. Lee mas . También ofrece recompensas por encontrar errores en su navegador Chrome o en su sistema operativo Chrome. Pero recientemente ha dado el paso más radical de ofrecer recompensas por errores encontrados en las aplicaciones de otras compañías también.La primera iteración del programa de recompensas de errores de Play Store solo se aplicó a un número muy pequeño de aplicaciones principales. Ahora, Google ha expandido el programa para cubrir cualquier aplicación en Play Store con más de 100 millones de instalaciones. Esto significa que hay muchas más oportunidades para que los cazadores de errores descubran problemas en las aplicaciones de Play Store y ser recompensado por informarlos, incluso si los desarrolladores de la aplicación no ofrecen su propia recompensa por errores programas
Google dice que presentó este programa con la esperanza de "alentar a la comunidad a ayudarnos a mejorar la seguridad para todos". Por lo tanto, alienta a los cazadores de errores que descubren un error a informarlo tanto a los desarrolladores de aplicaciones como a Google. Esto les da a los desarrolladores de la aplicación original la oportunidad de corregir el error rápidamente. Y eso significa una mejor seguridad para todos los que usan aplicaciones de Android.
Cómo participar en el programa Bug Bounty
El esquema de recompensas de errores de Play Store se llama Programa de recompensas de seguridad de Google Play (GPSRP). Google invita a investigadores de seguridad y desarrolladores de aplicaciones a participar. El primer paso es completar un solicitud para unirse al programa Puede buscar problemas de seguridad en cualquier aplicación elegible en Play Store una vez que haya sido aprobado.
Hay tres tipos de vulnerabilidad que los participantes buscan. En primer lugar, las vulnerabilidades de ejecución remota de código son aquellas que permiten que un hacker acceda al dispositivo de un usuario y realice cambios. Estos son problemas de seguridad muy graves.
En segundo lugar, está el problema del robo de datos privados inseguros. Aquí es donde una vulnerabilidad le permite a un hacker robar información personal como información de inicio de sesión, historial web o listas de contactos.
En tercer lugar, hay acceso a componentes de aplicaciones protegidas. Esto se refiere a aplicaciones que realizan funciones para las que no tienen permiso. Por ejemplo, una aplicación que envía mensajes SMS incluso si no tiene permiso del usuario para hacerlo.
El programa no cubre algunos problemas de seguridad. Por ejemplo, los ataques de phishing, aunque son potencialmente peligrosos, no califican. Esto se debe a que funcionan engañando al usuario y no ejecutando código malicioso. El programa tampoco cubre ataques que requieren acceso físico a un dispositivo.
Una vez que descubra un error, debe comunicarse con el desarrollador de la aplicación para informarles. Luego puede trabajar junto con el desarrollador para solucionar el problema. Una vez que se haya resuelto la vulnerabilidad, puede reclamar su recompensa en efectivo de Google.
Gane recompensas por descubrir abusos de datos por aplicaciones
Google no solo ofrece recompensas por encontrar errores de seguridad. Está tratando de tomar medidas enérgicas contra las aplicaciones que también roban datos de los usuarios. Recientemente, la compañía lanzó su Programa de recompensa de protección de datos de desarrollador (DDPRP) que ofrece recompensas similares para los desarrolladores que descubren el abuso de datos por parte de las aplicaciones.
Los tipos de abuso de datos que busca el programa son aplicaciones que recopilan y venden datos de usuarios de una manera que va en contra de las políticas de privacidad de Google. Por ejemplo, esta podría ser una aplicación que recopila datos de los libros de contactos de los usuarios, como metadatos que muestran a quién llamaron y cuándo, sin proteger esto como datos confidenciales.
También cubriría aplicaciones que violen las reglas sobre permisos, como una aplicación que tenga acceso a los permisos de SMS, pero utiliza esto para recopilar datos sobre los mensajes SMS de los usuarios para vender a terceros fiestas. Alternativamente, cubriría una aplicación que solicita permiso para acceder a los datos de contacto y luego reutiliza esos datos para una aplicación no relacionada.
Para ver más detalles sobre exactamente qué tipos de abuso de datos califican para el programa, puede consultar el Sitio web DDPRP. Al igual que con el programa de recompensas de errores, cualquier aplicación en Play Store con más de 100 millones de instalaciones es elegible.
Las recompensas en oferta por descubrir errores
Se ofrecen recompensas en efectivo tanto para la recompensa de errores como para los programas de abuso de datos. El monto pagado por cualquier informe depende de la gravedad del problema. También depende de la calidad del informe enviado a Google.
Las recompensas para el Programa de recompensas de seguridad de Google Play varían de $ 5,000 a $ 20,000 por errores de ejecución remota de código, de $ 1,000 a $ 3,000 por robo de datos privados inseguros, y de $ 1,000 a $ 3,000 por acceso a aplicaciones protegidas componentes. Además, hay bonificaciones por revelar las vulnerabilidades a los desarrolladores de aplicaciones de manera responsable. Esto les da a los desarrolladores la oportunidad de solucionar el problema.
Las recompensas para el Programa de recompensa de protección de datos para desarrolladores varían de $ 100 a $ 1000. Para reclamar la recompensa, deberá enviar un informe. Debe escribir información sobre qué política de datos se violó, cómo se abusó de los datos y una lista de veces en que la aplicación violó las políticas.
Gane dinero mediante la caza de vulnerabilidades de seguridad
Los programas de recompensa de errores y de abuso de datos de Google le brindan la oportunidad de ganar dinero. También le permiten ayudar a mejorar la seguridad de las aplicaciones distribuidas a través de Play Store. Si está interesado en más oportunidades de búsqueda de errores, también puede consultar los programas de otras compañías. Para algunos ejemplos, vea nuestra lista de increíbles programas de recompensas de errores para ganar dinero de bolsillo 25 impresionantes programas "Bug Bounty" para ganar dinero de bolsilloSi tiene experiencia en protocolos de seguridad, podría ganar dinero extra buscando errores en aplicaciones y sitios web populares, y ser recompensado con una recompensa por errores. Estos son los programas mejor pagados en 2016. Lee mas .
Georgina es una escritora de ciencia y tecnología que vive en Berlín y tiene un doctorado en psicología. Cuando no está escribiendo, generalmente se la encuentra jugando con su PC o montando su bicicleta, y puede ver más de su escritura en georginatorbet.com.