Si vous êtes un développeur Android expert en sécurité, Google vous rémunère pour identifier les vulnérabilités dans les applications du Play Store. Des malwares ont infecté des apps téléchargées des millions de fois, justifiant ce programme.
Google a élargi son Programme de récompenses de sécurité Google Play (GPSRP) à toutes les applications populaires dépassant 100 millions d'installations. Précédemment limité, il invite désormais les chercheurs en sécurité à signaler des failles, avec des paiements en espèces pour les rapports validés.
Google récompense depuis longtemps les découvertes de vulnérabilités dans ses propres produits (sites web, Chrome, Chrome OS). Innovation majeure : étendre cela aux apps tierces du Play Store pour renforcer la sécurité globale.
Ce programme cible les apps à fort volume d'installations, offrant des opportunités même sans bug bounty des développeurs originaux. Google vise à "encourager la communauté à améliorer la sécurité pour tous", en priorisant les signalements aux devs pour corrections rapides.
Rejoignez le GPSRP via une demande d'adhésion sur le site Google. Une fois approuvé, testez toute app éligible (plus de 100 millions d'installations).
Types de vulnérabilités éligibles :
Exclus : phishing, attaques physiques. Signalez d'abord au dev, puis à Google après résolution pour réclamer la prime.
Complémentaire, le Programme de récompenses pour la protection des données des développeurs (DDPRP) cible les violations de politiques : collecte/vente abusive de données (contacts, SMS) ou réutilisation non autorisée.
Éligible : apps > 100 millions d'installations. Détails sur le site DDPRP.
Primes basées sur gravité et qualité du rapport :
Soumettez rapports détaillés avec preuves.
Ces programmes sécurisent Android tout en rémunérant les experts. Explorez d'autres bug bounties pour plus d'opportunités.
