Si vous êtes un développeur d'applications Android avec un nez pour traquer les problèmes de sécurité, vous pourriez être payé pour prêter vos compétences à Google. Les pirates ont réussi à implanter des applications infectées par des logiciels malveillants sur le Google Play Store, dont certaines ont été téléchargées des millions.
En réponse, Google a ouvert son programme de primes aux bogues qui permet aux développeurs de rechercher des problèmes de sécurité dans les applications courantes. Auparavant, seules quelques applications étaient couvertes. Désormais, toutes les applications populaires du Play Store font partie du programme. Le programme verse des récompenses en espèces aux développeurs qui détectent et signalent des problèmes de sécurité.
Google a depuis longtemps un programme de primes aux bogues pour ses propres applications. Comme de nombreuses entreprises, Google offre des récompenses aux développeurs qui découvrent des problèmes sur ses sites Web. Il offre également des récompenses pour trouver des bugs sur son navigateur Chrome ou sur son système d'exploitation Chrome. Mais récemment, il a pris la mesure la plus radicale d'offrir également des récompenses pour les bugs trouvés dans les applications d'autres entreprises.
La première itération du programme de primes de bogues Play Store ne s'appliquait qu'à un très petit nombre d'applications de premier plan. Maintenant, Google a étendu le programme pour couvrir toutes les applications du Play Store avec plus de 100 millions d'installations. Cela signifie qu'il existe de nombreuses autres opportunités pour les chasseurs de bogues de découvrir des problèmes dans les applications du Play Store et d'être récompensés pour les avoir signalés, même si les développeurs d'applications n'offrent pas leurs propres programmes de primes de bogues.
Google dit avoir introduit ce programme dans l'espoir "d'encourager la communauté à nous aider à améliorer la sécurité pour tous". Par conséquent, il encourage les chasseurs de bogues qui découvrent un bogue à le signaler aux développeurs d'applications ainsi qu'à Google. Cela donne aux développeurs de l'application d'origine la possibilité de corriger rapidement le bogue. Et cela signifie une meilleure sécurité pour tous ceux qui utilisent des applications Android.
Le programme de primes de bugs du Play Store s'appelle le programme de récompense de sécurité Google Play (GPSRP). Google invite les chercheurs en sécurité et les développeurs d'applications à participer. La première étape consiste à remplir une demande d'adhésion au programme. Vous pouvez rechercher des problèmes de sécurité dans n'importe quelle application éligible sur le Play Store une fois que vous avez été approuvé.
Il existe trois types de vulnérabilité que les participants recherchent. Premièrement, les vulnérabilités d'exécution de code à distance sont celles qui permettent à un pirate d'accéder à l'appareil d'un utilisateur et d'y apporter des modifications. Ce sont des problèmes de sécurité très sérieux.
Deuxièmement, il y a la question du vol de données privées non sécurisées. C'est là qu'une vulnérabilité permet à un pirate informatique de voler des informations personnelles telles que les informations de connexion, l'historique Web ou les listes de contacts.
Troisièmement, il y a un accès aux composants d'application protégés. Cela fait référence aux applications qui exécutent des fonctions pour lesquelles elles n'ont pas l'autorisation. Par exemple, une application qui envoie des SMS même si elle n'a pas l'autorisation de l'utilisateur pour le faire.
Le programme ne couvre pas certains problèmes de sécurité. Par exemple, les attaques de phishing, bien que potentiellement dangereuses, ne sont pas éligibles. En effet, ils fonctionnent en trompant l'utilisateur et non en exécutant un code malveillant. Le programme ne couvre pas non plus les attaques nécessitant un accès physique à un appareil.
Une fois que vous avez découvert un bogue, vous devez contacter le développeur de l'application pour le lui faire savoir. Ensuite, vous pouvez travailler avec le développeur pour résoudre le problème. Une fois la vulnérabilité résolue, vous pouvez réclamer votre récompense en espèces à Google.
Google n'offre pas seulement des récompenses pour la recherche de bogues de sécurité. Il essaie également de sévir contre les applications qui volent également les données des utilisateurs. Récemment, la société a lancé son programme de récompense pour la protection des données des développeurs (DDPRP), qui offre des récompenses similaires aux développeurs qui découvrent l'utilisation abusive des données par les applications.
Les types d'abus de données recherchés par le programme sont des applications qui collectent et vendent des données utilisateur d'une manière contraire aux politiques de confidentialité de Google. Par exemple, il peut s'agir d'une application qui collecte des données à partir des carnets de contacts des utilisateurs, telles que des métadonnées indiquant qui ils ont appelé et quand, sans les protéger en tant que données sensibles.
Cela couvrirait également les applications qui enfreignent les règles sur les autorisations, telles qu'une application qui a accès aux autorisations SMS, mais les utilise pour collecter des données sur les messages SMS des utilisateurs à revendre à des tiers. Alternativement, cela couvrirait une application qui demande l'autorisation d'accéder aux données de contact, puis réutilise ces données pour une application non liée.
Pour voir plus de détails sur les types d'abus de données éligibles au programme, vous pouvez consulter le site Web du DDPRP. Comme pour le programme Bug Bounty, toute application sur le Play Store comptant plus de 100 millions d'installations est éligible.
Des récompenses en espèces sont proposées à la fois pour la prime de bogue et les programmes d'abus de données. Le montant payé pour un rapport dépend de la gravité du problème. Cela dépend également de la qualité du rapport soumis à Google.
Les récompenses du programme Google Play Security Reward Program vont de 5 000 $ à 20 000 $ pour les bogues d'exécution de code à distance, de 1 000 $ à 3 000 $ pour le vol de données privées non sécurisées et de 1 000 $ à 3 000 $ pour l'accès aux composants d'application protégés. De plus, il existe des bonus pour divulguer les vulnérabilités aux développeurs d'applications de manière responsable. Cela donne aux développeurs la possibilité de corriger le problème.
Les récompenses du programme de récompense pour la protection des données des développeurs vont de 100 $ à 1 000 $. Pour réclamer la récompense, vous devrez soumettre un rapport. Vous devez écrire des informations sur la politique de données qui a été violée, comment les données ont été abusées et une liste des fois où l'application a violé les politiques.
Les programmes Google Bug Bounty et Data Abus Bounty vous permettent de gagner de l'argent. Ils vous permettent également d'améliorer la sécurité des applications distribuées via le Play Store. Si vous êtes intéressé par plus d'opportunités de chasse aux bogues, vous pouvez également consulter les programmes d'autres entreprises. Pour quelques exemples, consultez notre liste de programmes de primes de bugs géniaux pour gagner de l'argent de poche.
