lunes, 16 de septiembre de 2019

Cómo ganar dinero encontrando vulnerabilidades en aplicaciones de Android

Si eres es un desarrollador de aplicaciones de Android con olfato para detectar problemas de seguridad, podrías recibir un pago por prestar tus habilidades a Google. 


Los hackers han logrado plantar aplicaciones infectadas con malware en Google Play Store, algunas de las cuales lograron millones de descargas.


En respuesta, Google ha abierto su programa de recompensas de errores que permite a los desarrolladores buscar problemas de seguridad en aplicaciones comunes. 


Anteriormente solo se cubrían algunas aplicaciones. Ahora, todas las aplicaciones populares de Play Store son parte del programa. El programa paga recompensas en efectivo para los desarrolladores que encuentran e informan problemas de seguridad.


programa de recompensas de seguridad de google play

Por qué Google tiene un programa de recompensas de errores

Google ha tenido un programa de recompensas de errores para sus propias aplicaciones durante mucho tiempo. Al igual que muchas empresas, Google ofrece recompensas a los desarrolladores que descubren problemas en sus sitios web.

También ofrece recompensas por encontrar errores en su navegador Chrome o en su sistema operativo Chrome. Pero recientemente ha dado el paso más radical de ofrecer recompensas por errores encontrados en las aplicaciones de otras compañías también.

La primera iteración del programa de recompensas de errores de Play Store solo se aplicó a un número muy pequeño de aplicaciones principales. Ahora, Google ha expandido el programa para cubrir cualquier aplicación en Play Store con más de 100 millones de instalaciones. 

Esto significa que hay muchas más oportunidades para que los cazadores de vulnerabilidades descubran problemas en las aplicaciones de Play Store y sean recompensados ​​por informarlos, incluso si los desarrolladores de aplicaciones no ofrecen sus propios programas de recompensas de errores.

Google dice que presentó este programa con la esperanza de “alentar a la comunidad a ayudarnos a mejorar la seguridad para todos”. Por lo tanto, alienta a los cazadores de errores que descubren un error a informarlo a los desarrolladores de aplicaciones y a Google. 

Esto les da a los desarrolladores de la aplicación original la oportunidad de corregir el error rápidamente. Y eso significa una mejor seguridad para todos los que usan aplicaciones de Android.

Cómo participar en el programa Bug Bounty (recompensa de errores)

El esquema de recompensas de errores de Play Store se llama Programa de recompensas de seguridad de Google Play (Google Play Security Reward Program – GPSRP, por sus siglas en inglés). 

Google invita a investigadores de seguridad y desarrolladores de aplicaciones a participar. El primer paso es completar una solicitud para unirse al programa. Puedes buscar problemas de seguridad en cualquier aplicación elegible en Play Store una vez que hayas sido aprobado.

Hay tres tipos de vulnerabilidad que los participantes buscan. En primer lugar, las vulnerabilidades de ejecución remota de código son aquellas que permiten que un hacker acceda al dispositivo de un usuario y realice cambios. Estos son problemas de seguridad muy graves.

En segundo lugar, está el problema del robo de datos privados inseguros. Aquí es donde una vulnerabilidad permite a un ciberdelincuente robar información personal, como información de inicio de sesión, historial web o listas de contactos.

En tercer lugar, hay acceso a componentes de aplicaciones protegidas. Esto se refiere a aplicaciones que realizan funciones para las que no tienen permiso. Por ejemplo, una aplicación que envía mensajes SMS incluso si no tiene permiso del usuario para hacerlo.

El programa no cubre algunos problemas de seguridad. Por ejemplo, los ataques de phishing, aunque son potencialmente peligrosos, no califican. Esto se debe a que funcionan engañando al usuario y no ejecutando código malicioso. El programa tampoco cubre ataques que requieren acceso físico a un dispositivo.

Una vez que descubras un error, debes comunicarte con el desarrollador de la aplicación para informarles. Luego puedes trabajar junto con el desarrollador para solucionar el problema. Una vez que se ha resuelto la vulnerabilidad, puedes reclamar tu recompensa en efectivo de Google.

Gana dinero descubriendo abusos de datos por parte de las aplicaciones

Google no solo ofrece recompensas por encontrar errores de seguridad. Está tratando de tomar medidas enérgicas contra las aplicaciones que también roban datos de los usuarios. Recientemente, la compañía lanzó su Programa de recompensa de protección de datos de desarrollador (Developer Data Protection Reward Program – DDPRP) que ofrece recompensas similares para desarrolladores que descubren el abuso de datos por parte de las aplicaciones.

Los tipos de abuso de datos que busca el programa son aplicaciones que recopilan y venden datos de usuarios de una manera que va en contra de las políticas de privacidad de Google. 

Por ejemplo, esta podría ser una aplicación que recopila datos de los contactos de los usuarios, como metadatos que muestran a quién llamaron y cuándo, sin proteger esto como datos confidenciales.

También cubriría aplicaciones que violen las reglas sobre permisos, como una aplicación que tiene acceso a permisos de SMS, pero la usa para recopilar datos sobre los mensajes SMS de los usuarios para venderlos a terceros. 

Alternativamente, cubriría una aplicación que solicita permiso para acceder a los datos de contacto y luego reutiliza esos datos para una aplicación no relacionada.

Para ver más detalles sobre exactamente qué tipos de abuso de datos califican para el programa, puede consultar el sitio web de DDPRP. Al igual que con el programa de recompensas de errores, cualquier aplicación en Play Store con más de 100 millones de instalaciones es elegible.

Las ofertas de recompensas por encontrar errores

Se ofrecen recompensas en efectivo tanto para la recompensa de errores como para los programas de abuso de datos. El monto pagado por cualquier informe depende de la gravedad del problema. También depende de la calidad del informe enviado a Google.

Las recompensas para el Programa de recompensas de seguridad de Google Play varían de $5,000 a $20,000 por errores de ejecución remota de código, de $1,000 a $3,000 por robo de datos privados inseguros, y de $1,000 a $3,000 por acceso a componentes de aplicaciones protegidas. 

Además, hay bonificaciones por revelar las vulnerabilidades a los desarrolladores de aplicaciones de manera responsable. Esto les da a los desarrolladores la oportunidad de solucionar el problema.

Las recompensas para el Programa de recompensas de protección de datos para desarrolladores varían de $100 a $1000. Para reclamar la recompensa, deberás enviar un informe. Debes escribir información sobre qué política de datos se violó, cómo se abusó de los datos y una lista de veces en que la aplicación violó las políticas.

Gana dinero mediante la caza de vulnerabilidades de seguridad

Los programas de recompensas de errores y de abuso de datos de Google te dan la oportunidad de ganar dinero. También te permiten ayudar a mejorar la seguridad de las aplicaciones distribuidas a través de Play Store. 

Si estás interesado en más oportunidades de búsqueda de errores, también puedes consultar los programas de otras compañías. Para ver algunos ejemplos, consulta esta lista de programas de recompensas de errores para ganar dinero.

Si deseas aprender hacking ético y participar de estos programas, entonces encuentra excelentes cursos sobre hacking ético aquí.

¿Qué opinas de esta iniciativa? ¿Participarás de estos programas? Por favor comparte el post en las redes sociales.

Fuente: Makeuseof

No hay comentarios.:

Publicar un comentario

Tu opinión es importante para mí, porque me ayuda a mejorar. Si te gustó el articulo o tienes alguna sugerencia, déjame tu comentario con tu nombre para poder responderte tan pronto como pueda.