Chuyển tới nội dung

Google thưởng nóng $1,000 cho mỗi bug được phát hiện trong Android Store Apps

26-10-2017
Nhằm cải thiện tính bảo mật của Android apps trong Google Play store, người khổng lồ về tìm kiếm- google vừa công bố phần thưởng $1,000 cho các hacker phát hiện bugs trong các app nổi tiếng với nhóm developer để vá chúng.

Với tên gọi là Google Play Security Reward Program, được đánh giá là tương tự như những cố gắng trong quá khứ của hãng với những program như Google-developed apps và Chrome apps. Những bug được phát hiện trong những chương trình trên cũng sẽ được thưởng.

Lần đầu chương trình này được thực hiện là với một đối tác là công ty bảo mật HackerOne – đã gặp nhiều giới hạn khác nhau.
Ví dụ như phạm vi ban đầu của chương trình chỉ bao gồm lỗi trong remote-code-execution (RCE) và có liên quan tới proof of concepts (POCs) với các thiết bị chạy phiên bản từ 4.4 trở lên của Android OS. Google cho biết lỗ hổng đã cho phép kẻ gian chạy code của chúng trên một thiết bị của user mà không hề có sự cho phép của họ.

Ngoài ra ngay cả những app nổi tiếng như Alibaba, Dropbox, Snapchat, Tinder cũng khuyến khích hacker phân tích và tìm kiếm lỗi bug của chúng nhằm giúp cải thiện chất lượng cho cả người dùng lẫn developer.

Trong cuối tuần vừa qua, Google đã nêu ra cách thức hoạt động của program trên:

Các nhà nghiên cứu cần phát hiện lỗi bug bên trong app và report trực tiếp tới app’s developer về vấn đề trên cũng như quá trình nhận thưởng.
App developer sẽ hợp tác với họ để tìm ra cách giải quyết vấn đề
Sau khi lỗi đã được khắc phục, ta sẽ yêu phần thưởng bonus từ Google Play Security Rewards Program trên HackerOne.
Android Security team sẽ gửi phần thưởng và lời cảm ơn vì sự đóng góp cho Google Play ecosystem.  
Tiếp đó là list các apps có nằm trong chương trính, ngoài ra HackerOne cũng list những luật sau:

Mọi lỗ hổng cần phải được báo cáo trực tiếp tới app developer đó trước tiên. Bạn sẽ chỉ nhận được tiền thưởng sau khi bug đã được fix cùng với app developer.
Chỉ có những developer được bàn giao và chỉ định sửa lỗi đó thì mới được tham gia chương trình. Đây là trách nhiệm mà developer phải sửa bug nhanh nhất có thể.

Theo sát chỉ dẫn và luật trong HackerOne’s disclosure guidelines.

Cung cấp chi tiết thông tin được yêu cầu trong report. Nếu báo cáo không có hoặc thiếu thông tin cần thiết thì sẽ không được nhận thưởng.

Khi bị trùng thì phần thưởng sẽ cho người phát hiện và báo cáo lỗi đầu tiên.

Nhiều lỗi xuất phát từ một bug sẽ được xem là một và chỉ được thưởng một lần.

HackerOne cho biết sẽ thêm nhiều app khác vào trong chương trình trong tương lai.


Theo Techtalk

1 bầu chọn / Điểm: 5