Si
eres es un desarrollador de aplicaciones de Android con olfato para detectar
problemas de seguridad, podrías recibir un pago por prestar tus habilidades a
Google.
Los hackers han logrado plantar aplicaciones infectadas con malware en Google Play
Store, algunas de las cuales lograron millones de descargas.
En
respuesta, Google ha abierto su programa de recompensas de errores que permite
a los desarrolladores buscar problemas de seguridad en aplicaciones
comunes.
Anteriormente
solo se cubrían algunas aplicaciones. Ahora, todas las aplicaciones
populares de Play Store son parte del programa. El programa paga
recompensas en efectivo para los desarrolladores que encuentran e informan
problemas de seguridad.
Por qué Google tiene un programa de recompensas de errores
Google
ha tenido un programa de recompensas de errores para sus propias aplicaciones
durante mucho tiempo. Al igual que muchas empresas, Google ofrece
recompensas a los desarrolladores que descubren problemas en sus sitios web.
También
ofrece recompensas por encontrar errores en su navegador Chrome o en su sistema
operativo Chrome. Pero recientemente ha dado el paso más radical de
ofrecer recompensas por errores encontrados en las aplicaciones de otras
compañías también.
La
primera iteración del programa de recompensas de errores de Play Store solo se
aplicó a un número muy pequeño de aplicaciones principales. Ahora, Google
ha expandido el programa para cubrir cualquier
aplicación en Play Store con más de 100 millones de instalaciones.
Esto
significa que hay muchas más oportunidades para que los cazadores
de vulnerabilidades descubran
problemas en las aplicaciones de Play Store y sean recompensados por
informarlos, incluso si los desarrolladores de aplicaciones no ofrecen sus propios
programas de recompensas de errores.
Google
dice que presentó este programa con la esperanza de “alentar a la comunidad a
ayudarnos a mejorar la seguridad para todos”. Por lo tanto, alienta a los
cazadores de errores que descubren un error a informarlo a los desarrolladores
de aplicaciones y a Google.
Esto
les da a los desarrolladores de la aplicación original la oportunidad de
corregir el error rápidamente. Y
eso significa una mejor seguridad para todos los que usan aplicaciones de
Android.
Cómo participar en el programa Bug Bounty (recompensa de errores)
El
esquema de recompensas de errores de Play Store se llama Programa de recompensas de seguridad de Google Play (Google Play Security
Reward Program – GPSRP, por sus siglas en inglés).
Google
invita a investigadores de seguridad y desarrolladores de aplicaciones a
participar. El primer paso es completar una solicitud para
unirse al programa. Puedes buscar problemas de seguridad en cualquier
aplicación elegible en Play Store una vez que hayas sido aprobado.
Hay
tres tipos de vulnerabilidad que los participantes buscan. En primer
lugar, las vulnerabilidades de ejecución remota de código son aquellas que
permiten que un hacker acceda al dispositivo de un usuario y realice
cambios. Estos son problemas de
seguridad muy graves.
En
segundo lugar, está el problema del robo de datos privados inseguros. Aquí
es donde una vulnerabilidad permite a un ciberdelincuente robar información personal, como información de inicio de sesión,
historial web o listas de contactos.
En
tercer lugar, hay acceso a componentes de
aplicaciones protegidas. Esto se refiere a
aplicaciones que realizan funciones para las que no tienen permiso. Por
ejemplo, una aplicación que envía mensajes SMS incluso si no tiene permiso del
usuario para hacerlo.
El
programa no cubre algunos problemas de seguridad. Por ejemplo, los
ataques de phishing, aunque son
potencialmente peligrosos, no califican. Esto se debe a que funcionan
engañando al usuario y no ejecutando código malicioso. El programa tampoco
cubre ataques que requieren acceso físico a un dispositivo.
Una
vez que descubras un error, debes comunicarte con el desarrollador de la
aplicación para informarles. Luego puedes trabajar junto con el
desarrollador para solucionar el problema. Una vez que se ha resuelto la
vulnerabilidad, puedes reclamar tu
recompensa en efectivo de Google.
Gana dinero descubriendo abusos de datos por parte de las aplicaciones
Google
no solo ofrece recompensas por encontrar errores de seguridad. Está
tratando de tomar medidas enérgicas contra las aplicaciones que también roban
datos de los usuarios. Recientemente, la compañía lanzó su Programa
de recompensa de protección de datos de desarrollador (Developer Data
Protection Reward Program – DDPRP) que ofrece recompensas similares para
desarrolladores que descubren el abuso de datos por parte de las aplicaciones.
Los
tipos de abuso de datos que busca el programa son aplicaciones
que recopilan y venden datos de usuarios de una manera que va en contra
de las políticas de privacidad de Google.
Por
ejemplo, esta podría ser una aplicación que recopila datos de los contactos de
los usuarios, como metadatos que muestran a quién llamaron y cuándo, sin
proteger esto como datos confidenciales.
También
cubriría aplicaciones que violen las reglas sobre permisos, como una aplicación
que tiene acceso a permisos de SMS, pero la usa para recopilar datos sobre los
mensajes SMS de los usuarios para venderlos a terceros.
Alternativamente,
cubriría una aplicación que solicita permiso para acceder a los datos de
contacto y luego reutiliza esos datos para una aplicación no relacionada.
Para
ver más detalles sobre exactamente qué tipos de abuso de datos califican para
el programa, puede consultar el sitio web de DDPRP. Al igual que con el programa de recompensas de errores,
cualquier aplicación en Play Store con más de 100 millones de instalaciones es
elegible.
Las ofertas de recompensas por encontrar errores
Se
ofrecen recompensas en efectivo tanto para la recompensa de errores como para
los programas de abuso de datos. El monto pagado por cualquier informe
depende de la gravedad del problema. También depende de la calidad del
informe enviado a Google.
Las
recompensas para el Programa de recompensas de seguridad de Google Play varían
de $5,000
a $20,000 por errores de ejecución remota de código, de $1,000 a $3,000
por robo de datos privados inseguros, y de $1,000 a $3,000 por acceso a
componentes de aplicaciones protegidas.
Además,
hay bonificaciones por revelar las vulnerabilidades a los desarrolladores de
aplicaciones de manera responsable. Esto les da a los desarrolladores la
oportunidad de solucionar el problema.
Las
recompensas para el Programa de recompensas de protección de datos para
desarrolladores varían de $100 a $1000. Para reclamar la recompensa,
deberás enviar un informe. Debes escribir información sobre qué política
de datos se violó, cómo se abusó de los datos y una lista de veces en que la
aplicación violó las políticas.
Gana dinero mediante la caza de vulnerabilidades de seguridad
Los
programas de recompensas de errores y de abuso de datos de Google te dan la
oportunidad de ganar dinero. También te permiten ayudar a mejorar
la seguridad de las aplicaciones distribuidas a través de Play Store.
Si
estás interesado en más oportunidades de búsqueda de errores, también puedes
consultar los programas de otras compañías. Para ver algunos ejemplos,
consulta esta lista de programas de recompensas de errores para ganar dinero.
Si deseas
aprender hacking ético y participar de estos programas, entonces encuentra excelentes cursos sobre hacking ético aquí.
¿Qué
opinas de esta iniciativa? ¿Participarás de estos programas? Por favor comparte
el post en las redes sociales.
Fuente:
Makeuseof