So verdienen Sie Geld, indem Sie Sicherheitsprobleme in Android Apps finden
Werbung
Wenn Sie ein Android-App-Entwickler sind, der nach Sicherheitsproblemen sucht, können Sie dafür bezahlt werden, dass Sie Ihre Fähigkeiten an Google ausgeliehen haben. Hacker haben es geschafft, mit Malware infizierte Apps im Google Play Store zu platzieren, von denen einige Millionen von Downloads erhielten.
Als Reaktion darauf hat Google sein Bug Bounty-Programm gestartet, mit dem Entwickler in gängigen Apps nach Sicherheitsproblemen suchen können. Bisher wurden nur wenige Apps behandelt. Jetzt sind alle gängigen Play Store-Apps Teil des Programms. Das Programm zahlt Prämien für Entwickler aus, die Sicherheitsprobleme finden und melden.
Warum hat Google ein Bug-Bounty-Programm
Google hat seit langer Zeit ein Bug Bounty-Programm für seine eigenen Apps. Wie viele andere Unternehmen bietet Google Entwicklern, die auf ihren Websites Probleme aufdecken, Prämien an. Google zahlt Ihnen mehr als 100 US-Dollar, wenn Sie ihnen nur helfen. Google zahlt Ihnen mehr als 100 US-Dollar, wenn Sie ihnen nur helfen Benutzer für eine einfache Sache zu tun. Weiterlesen . Es bietet auch Belohnungen für das Auffinden von Fehlern in seinem Chrome-Browser oder seinem Chrome-Betriebssystem. In letzter Zeit wurde jedoch der radikalere Schritt unternommen, Belohnungen für Fehler anzubieten, die auch in den Apps anderer Unternehmen gefunden wurden.
Die erste Iteration des Bugs-Bounty-Programms im Play Store galt nur für eine sehr kleine Anzahl von Top-Apps. Jetzt hat Google das Programm um mehr als 100 Millionen installierte Apps im Play Store erweitert. Dies bedeutet, dass Bugsuchende viel mehr Möglichkeiten haben, Probleme in Play Store-Apps zu entdecken und für das Melden von Problemen belohnt zu werden, auch wenn die App-Entwickler keine eigenen Bugs-Bounty-Programme anbieten.
Google hat dieses Programm in der Hoffnung eingeführt, "die Community zu ermutigen, uns dabei zu helfen, die Sicherheit für alle zu verbessern". Aus diesem Grund werden Bug-Jäger, die einen Bug entdecken, ermutigt, ihn sowohl den App-Entwicklern als auch Google zu melden. Dies gibt den ursprünglichen App-Entwicklern die Möglichkeit, den Fehler schnell zu beheben. Und das bedeutet mehr Sicherheit für alle, die Android-Apps verwenden.
So nehmen Sie am Bug Bounty-Programm teil
Das Bugs-Bounty-Schema für den Play Store wird als Google Play Security Reward Program (GPSRP) bezeichnet. Google lädt Sicherheitsforscher und App-Entwickler zur Teilnahme ein. Der erste Schritt ist das Ausfüllen eines Antrags auf Teilnahme am Programm. Sie können in jeder geeigneten App im Play Store nach Sicherheitsproblemen suchen, sobald Sie genehmigt wurden.
Es gibt drei Arten von Schwachstellen, nach denen die Teilnehmer suchen. Erstens sind Remotecodeausführungsschwachstellen solche, die es einem Hacker ermöglichen, auf das Gerät eines Benutzers zuzugreifen und Änderungen vorzunehmen. Dies sind sehr schwerwiegende Sicherheitsprobleme.
Zweitens gibt es das Problem des Diebstahls unsicherer privater Daten. Hier kann ein Hacker aufgrund einer Sicherheitsanfälligkeit persönliche Informationen wie Anmeldeinformationen, Webprotokolle oder Kontaktlisten stehlen.
Drittens gibt es Zugriff auf geschützte App-Komponenten. Dies bezieht sich auf Apps, die Funktionen ausführen, für die sie keine Berechtigung haben. Zum Beispiel eine App, die SMS-Nachrichten sendet, auch wenn der Benutzer nicht dazu berechtigt ist.
Das Programm behandelt einige Sicherheitsprobleme nicht. Beispielsweise sind Phishing-Angriffe zwar potenziell gefährlich, aber nicht qualifiziert. Dies liegt daran, dass sie den Benutzer täuschen und keinen schädlichen Code ausführen. Das Programm deckt auch keine Angriffe ab, die physischen Zugriff auf ein Gerät erfordern.
Sobald Sie einen Fehler entdeckt haben, sollten Sie sich an den Entwickler der App wenden, um ihn darüber zu informieren. Anschließend können Sie mit dem Entwickler zusammenarbeiten, um das Problem zu beheben. Sobald die Sicherheitsanfälligkeit behoben wurde, können Sie Ihre Geldprämie bei Google einfordern.
Verdienen Sie Prämien für die Aufdeckung von Datenmissbrauch durch Apps
Google bietet nicht nur Belohnungen für das Auffinden von Sicherheitslücken. Es wird versucht, gegen Apps vorzugehen, die auch Benutzerdaten stehlen. Vor kurzem hat das Unternehmen das Developer Data Protection Reward Program (DDPRP) eingeführt, das ähnliche Belohnungen für Entwickler bietet, die Datenmissbrauch durch Apps aufdecken.
Bei den Arten von Datenmissbrauch, nach denen das Programm sucht, handelt es sich um Apps, die Benutzerdaten in einer Weise sammeln und verkaufen, die gegen die Datenschutzbestimmungen von Google verstößt. Dies könnte beispielsweise eine App sein, die Daten aus den Kontaktbüchern der Benutzer sammelt, z. B. Metadaten, aus denen hervorgeht, wer wann angerufen wurde, ohne diese als vertrauliche Daten zu schützen.
Es werden auch Apps behandelt, die gegen die Regeln für Berechtigungen verstoßen, z. B. eine App, die Zugriff auf SMS-Berechtigungen hat, diese jedoch zum Sammeln von Daten über SMS-Nachrichten von Benutzern verwendet, die an Dritte weitergegeben werden sollen. Alternativ würde es sich um eine App handeln, die um die Erlaubnis zum Zugriff auf Kontaktdaten bittet und diese Daten dann für eine nicht verwandte App wiederverwendet.
Weitere Informationen darüber, welche Arten von Datenmissbrauch für das Programm geeignet sind, finden Sie auf der DDPRP-Website. Wie beim Bug Bounty-Programm ist jede App im Play Store mit mehr als 100 Millionen Installationen berechtigt.
Die Belohnungen für das Auffinden von Fehlern
Sowohl für das Bug-Bounty-Programm als auch für das Datenmissbrauchsprogramm werden Prämien angeboten. Der Betrag, der für einen Bericht ausgezahlt wird, hängt vom Schweregrad des Problems ab. Dies hängt auch von der Qualität des an Google übermittelten Berichts ab.
Die Prämien für das Sicherheitsprogramm von Google Play reichen von 5.000 bis 20.000 US-Dollar für Fehler bei der Codeausführung per Fernzugriff, von 1.000 bis 3.000 US-Dollar für den Diebstahl unsicherer privater Daten und von 1.000 bis 3.000 US-Dollar für den Zugriff auf geschützte App-Komponenten. Darüber hinaus gibt es Boni für die verantwortungsbewusste Offenlegung der Sicherheitslücken gegenüber den App-Entwicklern. Dies gibt den Entwicklern die Möglichkeit, das Problem zu beheben.
Die Belohnungen für das Developer Data Protection Reward-Programm reichen von 100 bis 1000 US-Dollar. Um die Belohnung zu erhalten, müssen Sie einen Bericht einreichen. Sie sollten Informationen darüber schreiben, welche Datenrichtlinie verletzt wurde, wie Daten missbraucht wurden und wie oft die App gegen die Richtlinien verstoßen hat.
Verdienen Sie Geld, indem Sie Sicherheitslücken ausfindig machen
Mit den Prämienprogrammen für Fehler und Datenmissbrauch von Google haben Sie die Möglichkeit, Geld zu verdienen. Sie können auch dazu beitragen, die Sicherheit von Apps zu verbessern, die über den Play Store verteilt werden. Wenn Sie an weiteren Möglichkeiten zur Fehlersuche interessiert sind, können Sie sich auch die Programme anderer Unternehmen ansehen. Einige Beispiele finden Sie in unserer Liste großartiger Bug-Bounty-Programme, mit denen Sie Taschengeld verdienen können. 25 Großartige "Bug-Bounty" -Programme, mit denen Sie Taschengeld verdienen können. 25 Großartige "Bug-Bounty" -Programme, mit denen Sie Taschengeld verdienen können zusätzliches Geld für die Suche nach Fehlern in beliebten Apps und Websites und die Belohnung mit einem Bug Bounty. Hier sind die bestbezahlten Programme im Jahr 2016. Lesen Sie mehr.
Erfahren Sie mehr über: Android, Bug Bounty, Ethical Hacking, Google Play.
