• Реклама: 💰 Пополни свой портфель с минимальной комиссией на Transfer24.pro
  • Добро пожаловать на инвестиционный форум!

    Во всем многообразии инвестиций трудно разобраться. MMGP станет вашим надежным помощником и путеводителем в мире инвестиций. Только самые последние тренды, передовые технологии и новые возможности. 400 тысяч пользователей уже выбрали нас. Самые актуальные новости, проверенные стратегии и способы заработка. Сюда люди приходят поделиться своим опытом, найти и обсудить новые перспективы. 16 миллионов сообщений, оставленных нашими пользователями, содержат их бесценный опыт и знания. Присоединяйтесь и вы!

    Впрочем, для начала надо зарегистрироваться!
  • 🐑 Моисей водил бесплатно. А мы платим, хотя тоже планируем работать 40 лет! Принимай участие в партнеской программе MMGP
  • 📝 Знаешь буквы и умеешь их компоновать? Платим. Дорого. Бессрочная акция от MMGP: "ОПЛАТА ЗА СООБЩЕНИЯ"

Google заплатит за уязвимости, найденные в Facebook, Instagram и WhatsApp

ttxz

ТОП-МАСТЕР
Крипто-блогер
Регистрация
04.03.2015
Сообщения
33,788
Реакции
12,929
Поинты
16.474
Google начнет выплачивать исследователем безопасности вознаграждение за уязвимости, найденные в приложениях из Play Store, у которых более 100 млн загрузок. Под действие новых правил подпадают WhatsApp, Facebook, Instagram и другие популярные приложения.

Новые правила Google

Google включила в свою баунти-программу все приложения из магазина Play Store, у которых более 100 млн загрузок. Исследователи безопасности, нашедшие уязвимости в этих продуктах, могут теперь сообщить об этом в Google и получить от нее финансовое вознаграждение.

Указанные приложения были подведены под действие баунти-программы Google Play Security Reward Program (GPSRP), представленной на платформе HackerOne. До этого под программу подпадало всего восемь популярных приложений сторонних разработчиков, которые Google выбрала по частным соображениям. Это были Dropbox, Duolingo, Line, Snapchat, Tinder, Alibaba, Mail.ru и Headspace.

Теперь же для всех приложений установлен единый порог загрузок, преодоление которого по умолчанию делает их участниками GPSRP. Новые правила вступают в силу автоматически, разработчикам не нужно заключать для этого какие-то соглашения или делать что-нибудь еще. Следует отметить, что абсолютное большинство баунти-программ в мире предлагают вознаграждение только за уязвимости в продуктах той компании, которая запустила программу, а не в чужих.

Если у разработчика приложения — например, Facebook, Microsoft или Twitter — есть собственная баунти-программа, они все равно подпадают под действие новых правил GPSRP. То есть, исследователь безопасности может отправить отчет об обнаружении уязвимости и в Google, и непосредственно разработчику — и получить вознаграждение дважды.

Кого это касается


Порог загрузок на участие в GPSRP с легкостью преодолеют, например, WhatsApp, Facebook Messenger, само приложение Facebook или Microsoft Word у каждого из которых, по данным самого Play Store, более 1 млрд скачиваний. Для Excel, Instagram, мессенджера TikTok магазин выдает более 500 млн загрузок.



Также по новым правилам в программу попадут сервис проверки грамматики Grammarly, сервис видеостриминга Livestream, сервис поиска скидок на покупки для путешествий Priceline, платформа для создания интернет-магазинов Shopify, платформа для просмотра видеоконтента Showmax, музыкальный сервис Spotify, шагомер Sweatcoin, сервис для поиска ресторанов Zomato и другие приложения.

Условия GPSRP

Вознаграждения будут выплачиваться согласно действующим ставкам GPSRP. Программа была запущена в 2017 г. Это не самая популярная среди исследователей баунти-программа Google: к настоящему моменту по ней выплачено всего $265 тыс., в то время как по другим программам Google успела выплатить миллионы долларов.

По условиям GPSRP, за обнаружение уязвимости, позволяющей удаленно исполнить код, исследователь получает $20 тыс. За брешь, через которую можно украсть данные, Google платит $3 тыс., и столько же за возможность доступа к защищенным компонентам приложений. Возможность атаки незащищенных соединений по схеме «человек посередине», незащищенная обработка ссылок или перенаправление URL, приводящее к фишингу, оценивается в $500.

В первые годы существования GPSRP расценки были существенно ниже — за уязвимость с возможностью исполнения удаленного кода предлагалось всего $5 тыс. Google подняла тарифы в июле 2019 г., чтобы привлечь в программу больше участников.

Сканирование приложений

Отчеты об уязвимостях, поступающие в GPSRP, Google каталогизирует и включает в систему App Security Improvement (ASI), которая сканирует другие приложения Play Store на наличие таких же уязвимостей. Это помогает компании извлечь максимальную выгоду из GPSRP.

Если ASI нашла в другом приложении точно такую же уязвимость, что и в отчете GPSRP, разработчик получает об этом сообщение через консоль Play Store. Он обязан устранить брешь, или же его приложение будет удалено из магазина.

За время своего существования ASI нашла уязвимости более чем в 1 млн приложений от 300 тыс. разработчиков. Отдельно в 2018 г. система обнаружила баги в 75 тыс. приложений от 30 тыс. разработчиков.

источник
 
Сверху Снизу