گوگل به هرکسی که در مورد برنامه‌هایی که از داده‌های کاربران سوءاستفاده می‌کنند، گزارش دهد؛ جایزه پرداخت می‌کند.

در پی رسوایی سوءاستفاده از داده‌ها و چندین نمونه از دژافزارهای موجود در Play Store، گوگل در تاریخ ۲۹ اوت ۲۰۱۹ برنامه bug bounty خود را گسترش داده تا امنیت برنامه‌های اندروید و افزونه‌های Chrome توزیع‌شده از طریق سیستم‌عامل خود را تقویت کند.

 گسترش برنامه پاداش آسیب‌پذیری‌های گوگل عمدتاً شامل دو اعلامیه اصلی است.

 اول، یک برنامه جدید با نام “برنامه پاداش حفاظت از داده‌های توسعه‌دهنده”^(۱) (DDPRP)، که در آن گوگل به محققان و هکرهای امنیتی پاداش می‌دهد که “شواهد قابل‌اثبات و غیرمبهم” از سوءاستفاده از داده‌ها را در برنامه‌های اندروید، پروژه‌های OAuth و پسوندهای Chrome پیدا می‌کنند.

دوم، گسترش دامنه برنامه پاداش‌های امنیتی (^(۲)GPSRP) خود شامل همه برنامه‌های اندروید از فروشگاه Google Play با بیش از ۱۰۰ میلیون نصب یا بیشتر، که به توسعه‌دهندگان برنامه‌های آسیب‌دیده کمک می‌کند تا آسیب‌پذیری‌ها را از طریق افشای مسئولانه برطرف کنند.

برای یافتن سوءاستفاده از داده‌ها در برنامه‌های اندروید و Chrome پاداش دریافت کنید.

برنامه پاداش برای سوءاستفاده از داده‌ها [۱] با هدف جلوگیری از رسوایی‌هایی [۲] مانند Cambridge Analytica که فیس‌بوک را با ۵ میلیارد دلار جریمه [۳] به دلیل عدم شناسایی موقعیت‌هایی که داده‌های کاربر مورداستفاده قرار می‌گیرد یا برخلاف انتظار فروخته می‌شود و یا به‌طور غیرقانونی بدون رضایت کاربر در جای دیگر استفاده می‌شود، روبرو کرد.

گوگل در پست وبلاگ خود که در تاریخ ۲۹ اوت ۲۰۱۹ منتشر شده است، می‌گوید [۴]: “اگر سوءاستفاده از داده‌ها مربوط به یک برنامه یا یک افزونه Chrome باشد، بر این اساس آن برنامه یا افزونه از Google Play یا فروشگاه وب Google Chrome حذف خواهد شد.”

“در موردی که یک توسعه‌دهنده برنامه از دسترسی به محدوده‌های مجاز Gmail سوءاستفاده کند، دسترسی API  آن‌ها حذف خواهد شد.”

گوگل هنوز هیچ سقف پاداشی برای برنامه DDPRP اعلام نکرده است اما اطمینان حاصل کرده است که یک گزارش واحد بسته به تأثیرش، می‌تواند تا ۵۰،۰۰۰ دلار جایزه داشته باشد.

 Bounty Bug روی تمام برنامه‌های اندروید با ۱۰۰ میلیون بار دانلود

از طرف دیگر، برنامهGPSRP، که در ابتدا در سال ۲۰۱۷ راه‌اندازی شد، تا امروز محدود به گزارش آسیب‌پذیری در برنامه‌های محبوب اندرویدی در Google Play Store بود.

با جدیدترین اعلامیه، گوگل اکنون با توسعه‌دهندگان صدها هزار برنامه اندرویدی، که هرکدام حداقل ۱۰۰ میلیون بار دانلود شده‌اند، همکاری خواهد کرد و به آن‌ها در دریافت گزارش آسیب‌پذیری و دستورالعمل نحوه چگونگی وصله کردن آن‌ها روی کنسول‌های Paly خود کمک خواهد کرد.

 گوگل می‌گوید: “این برنامه‌ها اکنون حتی اگر برنامه‌نویسان، برنامه افشاگری آسیب‌پذیری یا برنامهbug bounty خود را نداشته باشند، برای جوایز واجد شرایط هستند.”

 “اگر برنامه‌نویسان از قبل برنامه‌های bug bounty خود را داشته باشند، محققان می‌توانند جوایز مستقیمی از آن‌ها به‌علاوه جوایز گوگل دریافت کنند.”

 به‌عنوان بخشی از برنامه بهبود امنیت برنامه‌های گوگل(^(۳)ASI) ، در حال حاضر به بیش از ۳۰۰،۰۰۰ برنامه‌نویس کمک شده است تا بیش از ۱،۰۰۰،۰۰۰ برنامه را در فروشگاه Google Play وصله کنند.

 خوشبختانه اکنون هردوی این اقدامات به گوگل اجازه می‌دهد تا از سوءاستفاده از برنامه‌های اندرویدی و افزونه‌های Chrome جلوگیری شود و به امنیت برنامه‌های توزیع‌شده از طریق Play Store افزوده شود.

منابع

[۱] https://thehackernews.com/2018/04/facebook-data-abuse-bounty.html

[۲] https://thehackernews.com/2018/03/facebook-cambridge-analytica.html

[۳] https://thehackernews.com/2019/07/ftc-facebook-privacy-program.html

[۴] https://android-developers.googleblog.com/2019/08/expanding-bug-bounties-on-google-play.html

[۵] https://thehackernews.com/2019/08/google-data-abuse-bug-bounty.html

(۱) Developer Data Protection Reward Program
(۲) Google Play Security Rewards Program
(۳) App Security Improvement (ASI)