Comment gagner de l'argent en trouvant des problèmes de sécurité dans les applications Android
Publicité
Si vous êtes un développeur d'applications Android doué pour la recherche de problèmes de sécurité, vous pourriez être payé pour avoir prêté vos compétences à Google. Les pirates ont réussi à installer des applications infectées par des logiciels malveillants sur le Google Play Store, dont certaines ont reçu des millions de téléchargements.
En réponse, Google a ouvert son programme de prime aux bogues qui permet aux développeurs de détecter les problèmes de sécurité dans les applications courantes. Auparavant, seules quelques applications étaient couvertes. Désormais, toutes les applications Play Store populaires font partie du programme. Le programme verse des récompenses en espèces aux développeurs qui détectent et signalent des problèmes de sécurité.
Pourquoi Google a-t-il un programme de prime aux bogues?
Google propose depuis longtemps un programme de primes de bogues pour ses propres applications. Comme de nombreuses entreprises, Google offre des récompenses aux développeurs qui découvrent des problèmes sur ses sites. Google vous paiera plus de 100 USD si vous les aidez simplement Google vous paye plus de 100 USD si vous les aidez Google a déboursé des centaines de milliers de dollars utilisateurs pour faire une chose simple. Lire la suite . Il offre également des récompenses pour la recherche de bogues dans son navigateur Chrome ou son système d'exploitation Chrome. Mais récemment, elle a pris la mesure la plus radicale d'offrir des récompenses pour les bugs trouvés dans les applications d'autres sociétés.
La première itération du programme de primes du bogue Play Store ne s’appliquait qu’à un très petit nombre d’applications de choix. À présent, Google a étendu le programme à toutes les applications du Play Store avec plus de 100 millions d'installations. Cela signifie qu'il existe de nombreuses autres possibilités pour les chercheurs de bogues de découvrir des problèmes dans les applications Play Store et d'être récompensés pour les signaler, même si les développeurs d'applications n'offrent pas leurs propres programmes de primes de bogues.
Google a déclaré avoir introduit ce programme dans l'espoir d '"encourager la communauté à nous aider à améliorer la sécurité de tous". Par conséquent, il encourage les chasseurs de bogues qui découvrent un bogue à le signaler aux développeurs d'applications ainsi qu'à Google. Cela donne aux développeurs d'applications d'origine la possibilité de résoudre le bogue rapidement. Et cela signifie une meilleure sécurité pour tous ceux qui utilisent des applications Android.
Comment participer au programme Bug Bounty
Le programme de primes pour les bogues du Play Store s’appelle le programme GPSRP (Security Reward Program) de Google Play. Google invite les chercheurs en sécurité et les développeurs d'applications à participer. La première étape consiste à remplir une demande d'adhésion au programme. Vous pouvez rechercher des problèmes de sécurité dans n'importe quelle application éligible sur le Play Store une fois que vous avez été approuvé.
Les participants recherchent trois types de vulnérabilité. Premièrement, les vulnérabilités d'exécution de code à distance sont celles qui permettent à un pirate d'accéder au périphérique d'un utilisateur et d'y apporter des modifications. Ce sont des problèmes de sécurité très graves.
Deuxièmement, il y a la question du vol de données privées non sécurisées. C'est à ce stade qu'une vulnérabilité permet à un pirate informatique de voler des informations personnelles telles que des informations de connexion, un historique Web ou des listes de contacts.
Troisièmement, il existe un accès aux composants d'applications protégées. Cela fait référence aux applications qui exécutent des fonctions pour lesquelles elles n’ont pas la permission. Par exemple, une application qui envoie des SMS même si elle n’a pas l’autorisation de l’utilisateur.
Le programme ne couvre pas certains problèmes de sécurité. Par exemple, les attaques de phishing, bien que potentiellement dangereuses, ne sont pas admissibles. En effet, ils travaillent en trompant l'utilisateur et non en exécutant du code malveillant. Le programme ne couvre pas non plus les attaques nécessitant un accès physique à un appareil.
Une fois que vous avez découvert un bogue, vous devez contacter le développeur de l'application pour le lui faire savoir. Ensuite, vous pouvez collaborer avec le développeur pour résoudre le problème. Une fois la vulnérabilité résolue, vous pouvez réclamer votre récompense en espèces auprès de Google.
Gagnez des primes pour la découverte d'abus de données par les applications
Google n'offre pas seulement des récompenses pour la recherche de bugs de sécurité. Il essaie de réprimer les applications qui volent également les données des utilisateurs. La société a récemment lancé son programme de protection des données des développeurs (DDPRP), qui offre des récompenses similaires aux développeurs qui découvrent l'utilisation abusive de données par les applications.
Les types d'abus de données recherchés par le programme sont les applications qui collectent et vendent les données des utilisateurs d'une manière contraire aux règles de confidentialité de Google. Par exemple, il peut s'agir d'une application qui collecte des données à partir des carnets de contacts des utilisateurs, telles que des métadonnées indiquant qui ils ont appelé et quand, sans protéger cela en tant que données sensibles.
Cela couvrirait également les applications qui violent les règles sur les autorisations, telles que les applications qui ont accès aux autorisations SMS, mais qui les utilisent pour collecter des données sur les messages SMS des utilisateurs à vendre à des tiers. Alternativement, cela couvrirait une application qui demande la permission d'accéder aux données de contact, puis réutilisera ces données pour une application non liée.
Pour plus de détails sur les types de données abusives admissibles au programme, vous pouvez consulter le site Web de la DDPRP. Comme avec le programme de primes de bogues, toute application sur le Play Store comptant plus de 100 millions d'installations est éligible.
Les récompenses offertes pour la découverte de bugs
Des récompenses en argent sont proposées pour le programme Prime au bug et les programmes d’abus de données. Le montant versé pour un rapport dépend de la gravité du problème. Cela dépend également de la qualité du rapport soumis à Google.
Les récompenses pour le programme de récompense de sécurité Google Play vont de 5 000 à 20 000 USD pour les bogues d'exécution de code à distance, de 1 000 USD à 3 000 USD pour le vol de données confidentielles non sécurisées et de 1 000 USD à 3 000 USD pour l'accès aux composants d'applications protégées. En outre, il existe des bonus pour la divulgation des vulnérabilités aux développeurs d'applications de manière responsable. Cela donne aux développeurs la possibilité de corriger le problème.
Les récompenses pour le programme de récompense de protection des données de développeur vont de 100 USD à 1 000 USD. Pour réclamer la récompense, vous devrez soumettre un rapport. Vous devez écrire des informations sur la violation de la stratégie de données, la manière dont les données ont été mal exploitées et une liste des moments où l'application a enfreint les stratégies.
Gagnez de l'argent en chassant des vulnérabilités de sécurité
Les programmes de primes pour bogues et abus de données de Google vous permettent de gagner de l'argent. Ils vous permettent également d'améliorer la sécurité des applications distribuées via le Play Store. Si vous êtes intéressé par plus d'opportunités de recherche de bogues, vous pouvez également consulter les programmes d'autres sociétés. Pour quelques exemples, voir notre liste de programmes de bounties impressionnants pour gagner de l’argent de poche 25 Programmes impressionnants de «primes d’insectes» pour gagner de l’argent de poche 25 Programmes superbes de «primes d’insectes» pour gagner de l’argent de poche de l'argent supplémentaire à la recherche de bugs dans les applications et sites Web populaires, et d'être récompensé par une prime au bogue. Voici les programmes les mieux payés en 2016. Lisez plus.
Explorez plus sur: Android, Bug Bounty, Ethical Hacking, Google Play.
