So verdienen Sie Geld, indem Sie Sicherheitsprobleme in Android-Anwendungen finden

Wenn Sie ein Android- App-Entwickler sind und Sicherheitsprobleme erkennen können, können Sie Geld verdienen, indem Sie Ihr Talent bei Google unter Beweis stellen. Hacker haben mit Malware infizierte Apps in den Google Play Store gebracht, von denen einige millionenfach heruntergeladen wurden.

Als Reaktion darauf hat Google ein Bug-Bounty-Programm (ein Belohnungsprogramm für von Benutzern entdeckte Schwachstellen) gestartet, das es Entwicklern ermöglicht, Sicherheitsprobleme in vielen beliebten Anwendungen zu finden. Bisher waren nur wenige Apps enthalten. Ab sofort sind alle gängigen Play Store-Apps Teil des Programms. Das Programm zahlt Geldprämien an Entwickler, die Sicherheitsprobleme finden und melden.

Sicherheitsprobleme in Android-Anwendungen finden – Ihre Chance, mit Google Geld zu verdienen

• Warum hat Google das Bug Bounty-Programm erstellt?
• Wie kann ich am Bug Bounty-Programm teilnehmen?
• Verdienen Sie Belohnungen für die Erkennung von Datenmissbrauch durch Apps selbst
• Was ist die Belohnung für das Finden eines bestimmten Fehlers?

Warum hat Google das Bug Bounty-Programm erstellt?

Google verfügt seit langem über ein Bug-Bounty-Programm für seine eigenen Apps. Wie viele Unternehmen bietet Google Entwicklern Belohnungen an, die Probleme auf seinen Websites entdecken. Das Unternehmen bietet außerdem Belohnungen für das Finden von Fehlern in seinem Chrome-Browser oder Chrome-Betriebssystem an. Aber seit kurzem geht Google noch einen Schritt weiter und bietet auch Belohnungen für Fehler an, die in den Apps vieler anderer Unternehmen gefunden werden.

Der erste Schritt des Play Store Bug Bounty-Programms gilt nur für eine sehr kleine Anzahl von Top-Apps. Jetzt hat Google das Programm ausgeweitet, um alle Apps im Play Store mit über 100 Millionen Installationen abzudecken. Dies bedeutet, dass es für Bug-Jäger mehr Möglichkeiten gibt, Probleme in Play Store-Apps zu entdecken und dafür belohnt zu werden, dass sie sie melden, selbst wenn die App-Entwickler keine Bug-Programme anbieten. Ihre eigene Prämie.

Google gab an, das oben genannte Programm in der Hoffnung eingeführt zu haben, die Community zu ermutigen, sich zusammenzuschließen, um die Sicherheit für alle zu verbessern. Daher ermutigt Google Bug-Jäger, Probleme zu entdecken und sie den Anwendungsentwicklern und Google zu melden. Dies gibt nativen App-Entwicklern die Möglichkeit, Fehler schnell zu beheben. Und das bedeutet mehr Sicherheit für alle, die Android-Apps nutzen.

Wie kann ich am Bug Bounty-Programm teilnehmen?

Das Bug Bounty-Programm im Play Store heißt Google Play Security Reward Program (GPSRP) . Google lädt Sicherheitsforscher und Anwendungsentwickler zur Teilnahme ein. Der erste Schritt besteht darin, ein Bewerbungsformular auszufüllen , um am Programm teilzunehmen. Nach der Genehmigung können Sie in jeder berechtigten App im Play Store nach Sicherheitsproblemen suchen.

Es gibt drei Arten von Schwachstellen, nach denen die Teilnehmer suchen. Erstens handelt es sich bei Schwachstellen in der Remotecodeausführung um Schwachstellen, die es Hackern ermöglichen, auf das Gerät eines Benutzers zuzugreifen und Änderungen vorzunehmen. Dies sind sehr ernste Sicherheitsprobleme.

Zweitens besteht das Problem des Diebstahls ungesicherter privater Daten. Hier ermöglicht eine Sicherheitslücke Hackern den Diebstahl persönlicher Daten wie Anmeldedaten, Webprotokoll oder Kontaktlisten.

Drittens gibt es Zugriff auf geschützte Anwendungskomponenten. Damit sind Anwendungen gemeint, die Funktionen ausführen, für die sie keine Berechtigung haben. Beispielsweise sendet eine Anwendung SMS-Nachrichten, auch wenn sie nicht über die Berechtigung des Benutzers verfügt.

Das Programm deckt einige Sicherheitsprobleme nicht ab. Beispielsweise sind Phishing-Angriffe , obwohl sie möglicherweise sehr gefährlich sind, nicht für das Programm geeignet. Der Grund dafür ist, dass sie durch Betrug an Benutzern vorgehen und nicht durch die Ausführung von bösartigem Code. Das Programm deckt auch keine Angriffe ab, die einen physischen Zugriff auf das Gerät erfordern.

Wenn Sie einen Fehler entdecken, sollten Sie sich an den App-Entwickler wenden, um ihn darüber zu informieren. Anschließend können Sie mit diesem Entwickler zusammenarbeiten, um das Problem zu beheben. Sobald die Schwachstelle behoben ist, können Sie bei Google eine Geldprämie beantragen.

Verdienen Sie Belohnungen für die Erkennung von Datenmissbrauch durch Apps selbst

Google bietet nicht nur Belohnungen für das Auffinden von Sicherheitslücken. Das Unternehmen versucht außerdem, Anwendungen zu „unterdrücken“, die Benutzerdaten stehlen. Kürzlich hat das Unternehmen das Developer Data Protection Reward Program (DDPRP) ins Leben gerufen , das ähnliche Belohnungen für Entwickler bietet, die Datenmissbrauch durch Apps aufdecken.

Die Arten von Datenmissbrauch, nach denen das Programm sucht, sind Apps, die Benutzerdaten auf eine Weise sammeln und verkaufen, die gegen die Datenschutzrichtlinien von Google verstößt. Dies könnte beispielsweise eine Anwendung sein, die Daten aus den Kontaktbüchern der Benutzer sammelt, etwa Metadaten darüber, wen sie wann angerufen haben, ohne dass diese als vertrauliche Daten geschützt sind.

Das Programm umfasst auch Apps, die gegen Berechtigungsregeln verstoßen, etwa Apps, die Zugriff auf SMS haben, diese aber nutzen, um Daten über SMS-Benutzer zu sammeln und diese an Dritte zu verkaufen. Darüber hinaus enthält es auch eine App, die die Erlaubnis zum Zugriff auf Kontaktdaten anfordert und diese Daten dann für eine nicht verwandte App wiederverwendet.

Genauere Einzelheiten zu den Arten des Datenmissbrauchs, die für das Programm in Frage kommen, finden Sie auf der DDPRP-Website . Wie beim Bug Bounty-Programm ist jede App im Play Store mit mehr als 100 Millionen Installationen teilnahmeberechtigt.

Was ist die Belohnung für das Finden eines bestimmten Fehlers?

Es gibt Geldprämien für Programme zur Erkennung von Fehlern und Datenmissbrauch. Der für jede Meldung gezahlte Betrag hängt von der Schwere des Problems ab. Es hängt auch von der Qualität des an Google gesendeten Berichts ab.

Die Prämien für das Google Play Security Reward Program liegen zwischen 5.000 und 20.000 US-Dollar für Fehler bei der Remote-Codeausführung, zwischen 1.000 und 3.000 US-Dollar für ungesicherten privaten Datendiebstahl und zwischen 1.000 und 3.000 US-Dollar für den Zugriff auf Komponenten. Der Anwendungsteil ist geschützt. Darüber hinaus gibt es Belohnungen für die Erkennung von Schwachstellen für verantwortungsbewusste Anwendungsentwickler. Dies gibt Entwicklern die Möglichkeit, das Problem zu beheben.

Die Prämien des Developer Data Protection Reward Program liegen zwischen 100 und 1.000 US-Dollar. Um die Belohnung zu erhalten, müssen Sie einen Bericht einreichen. Sie sollten deutlich aufschreiben, welche Datenrichtlinien verletzt wurden, wie die Daten missbraucht wurden und wie oft die App gegen die Richtlinien verstoßen hat.

Die Datenmissbrauchs- und Fehlererkennungsprogramme von Google bieten Ihnen die Möglichkeit, Geld zu verdienen. Sie können damit auch dazu beitragen, die Sicherheit von Apps zu verbessern, die über den Play Store vertrieben werden. Wenn Sie an weiteren Möglichkeiten zur Fehlersuche interessiert sind, können Sie sich auch die Programme anderer Unternehmen ansehen.

Viel Glück!