Google công bố trao thưởng cho phát hiện lỗi ứng dụng

Sau khi ứng dụng Camscanner bị phát hiện có chứa mã độc tấn công người dùng, Google công bố chương trình trao thưởng cho những phát hiện lỗi ứng dụng.
14:52 PM 03/09/2019 In bài viết này

Google vừa công bố mở rộng chương trình trao thưởng cho các nhà nghiên cứu bảo mật phát hiện lỗi liên quan đến công ty này, bao gồm bất kỳ ứng dụng Android nào có trên cửa hàng ứng dụng Play Store với hơn 100 triệu lượt cài đặt của người dùng.

Chương trình bắt đầu từ ngày 29/8, theo đó, các nhà nghiên cứu bảo mật có thể báo cáo các lỗ hổng trong các ứng dụng này cho Google và nhà sản xuất hệ điều hành Android sẽ trao thưởng bằng tiền mặt cho các báo cáo phát hiện lỗi bảo mật hợp lệ.

Tất cả các ứng dụng Android có trên 100 triệu lượt tải đều trong “tầm ngắm”

Tất cả các ứng dụng Android trên Play Store với hơn 100 triệu lượt cài đặt đều được Google khuyến khích các nhà bảo mật xem xét.

Google sẽ phân loại tất cả các báo cáo lỗi bảo mật Google Play (Google Play Security Reward Program - GPSRP) trên nền tảng HackerOne thông qua Chương trình trao thưởng và sau đó chuyển tiếp những lỗ hổng cho các nhà phát triển ứng dụng. Nếu không giải quyết được lỗi, Google sẽ gỡ các ứng dụng khỏi Play Store.

Các nhà phát triển ứng dụng như Facebook, Microsoft hoặc Twitter, những chương trình trao thưởng cho phát hiện lỗi riêng của các công ty này cũng được tham gia vào chương trình GPSRP.

Google cho biết các nhà phát triển ứng dụng có thể gửi các báo cáo lỗi tương tự thông qua GPSRP đối với các chương trình trao thưởng cho phát hiện lỗi riêng của các công ty đó và có thể nhận thưởng cho cùng một lỗi hai lần.

Tăng cường trao thưởng cho phát hiện lỗi ứng dụng

Google đã công bố GPSRP vào năm 2017. Trong ba năm đầu tiên của chương trình, những người săn lỗi có thể nhận được tới 5.000 USD cho các lỗi thực thi mã từ xa (RCE) hoặc lên tới 1.000 USD cho các lỗi dẫn đến việc đánh cắp dữ liệu riêng tư hoặc truy cập các thành phần được bảo vệ của một ứng dụng.

Mặc dù Google muốn trao thưởng cho các lỗi trong các ứng dụng không phải của Google, nhưng chương trình chưa bao giờ được chú ý, vì các nhà nghiên cứu bảo mật có xu hướng quan tâm các chương trình nhận thưởng cho phát hiện lỗi khác của Google.

Đến nay, GPSRP chỉ trả cho các nhà nghiên cứu bảo mật chỉ hơn 265.000 USD tiền thưởng, một phần trong số hàng triệu USD mà Google đã trả thông qua các chương trình trao thưởng cho phát hiện lỗi khác.

Tháng trước, trong nỗ lực tăng cường sự tham gia vào chương trình, Google đã tăng các khoản thanh toán cho các lỗi đã nói ở trên lên 20.000 USD cho RCE và 3.000 USD cho phát hiện các lỗi còn lại.

Hơn nữa, mặc dù ban đầu chỉ có một số ít các ứng dụng phổ biến được đưa vào GPSRP (do Google chọn thủ công), bắt đầu từ 30/8, bất kỳ ứng dụng hoặc trò chơi Android nào vượt qua mốc 100 triệu lượt tải xuống đều đương nhiên đủ điều kiện, khiến chương trình thưởng cho phát hiện lỗi trên Play Store của công ty thậm chí còn hấp dẫn hơn trước.

Trao thưởng  phát hiện việc lạm dụng dữ liệu người dùng Google API, Chrome và Android

Thực hiện theo các bước như của Facebook và khởi động chương trình để phát hiện các nhà phát triển ứng dụng ăn cắp hoặc lạm dụng dữ liệu người dùng Google, Google đã công bố một chương trình trao thưởng cho phát hiện lỗi mới mà các nhà nghiên cứu bảo mật có thể báo cáo các trường hợp lạm dụng, trong đó các ứng dụng của bên thứ ba đang đánh cắp hoặc lạm dụng dữ liệu người dùng của Google.

Chương trình trao thưởng mới này được đặt tên là Chương trình trao thưởng bảo vệ dữ liệu dành cho nhà phát triển (Developer Data Protection Reward Program - DDPRP) và các nhà nghiên cứu bảo mật có thể báo cáo các trường hợp lạm dụng dữ liệu có thể xảy ra trong các ứng dụng của bên thứ ba có quyền truy cập vào Google API, trong các ứng dụng Android có trên Play Store và trong Các ứng dụng và tiện ích mở rộng của Chrome có trên Cửa hàng Chrome trực tuyến.

Google cho biết: "Chương trình nhằm mục đích thưởng cho bất cứ ai có thể cung cấp bằng chứng xác thực và rõ ràng về lm dụng dữ liệu. Đặc biệt, chương trình nhằm xác định các tình huống trong đó dữ liệu người dùng đang được sử dụng hoặc bị bán bất ngờ hoặc được sử dụng lại một cách bất hợp pháp mà không có sự đồng ý của người dùng".

Báo cáo về lạm dụng dữ liệu người dùng của Google có thể được gửi qua trang DDPRP trên HackerOne, một nền tảng trao thưởng cho phát hiện lỗi, nơi Google điều hành một số chương trình trao thưởng của mình. Google sẽ điều tra mọi trường hợp lạm dụng và đình chỉ các ứng dụng vi phạm.

Các nhà nghiên cứu bảo mật nộp báo cáo lạm dụng dữ liệu hợp lệ đủ điều kiện nhận phần thưởng lên tới 50.000 USD, Google cho biết.

Theo tiên phong của Facebook

Sáng kiến mới của Google tương tự như các chương trình trao thưởng cho phát hiện lỗi được Facebook và Instagram công bố trong những năm trước.

Vào tháng 4 năm 2018, sau vụ bê bối chấn động Cambridge Analytica, Facebook tuyên bố trao thưởng cho các nhà nghiên cứu bảo mật để tìm ra các ứng dụng tương tự đã bí mật thu thập và lạm dụng dữ liệu của người dùng Facebook.

Đầu tháng 8, Facebook đã mở rộng chương trình tương tự để bao gồm các ứng dụng Instagram sau khi một nhà quảng cáo Instagram có tên Hyp3r đã bí mật xóa hồ sơ và lưu trữ thông tin trên người dùng Instagram bên ngoài các máy chủ an toàn hơn của Facebook.

Google đã không phải chịu bất kỳ sự cố bảo mật dữ liệu người dùng lớn nào như ở Facebook và Instagram, nhưng gã “khổng lồ” tìm kiếm cũng đang gặp phải những vấn đề tương tự.

Có thể nhận thấy rằng sau các vụ bê bối về quyền riêng tư của mình, Facebook phải đối mặt với loạt áp lực liên tục từ báo chí và pháp lý, Google đang cố gắng hết sức để tránh các vấn đề tương tự bằng mọi giá và DDPRP là một giải pháp tốt để giải quyết vấn đề này.

Sử dụng các báo cáo lỗi ứng dụng Android

Ngoài ra, dường như có sự băn khoăn khi Google đang trả tiền thưởng cho việc sửa lỗi trong các ứng dụng của bên thứ ba, nhưng công ty này cho biết có một lợi ích hữu hình và một cách thức cho sự “điên rồ” này của công ty.

Nhà sản xuất hệ điều hành Android cho biết các báo cáo về lỗ hổng mà họ đã nhận được trong ba năm trước thông qua GPSRP đã không hề bị lãng phí. Tất cả các báo cáo lỗi đã được phân loại và đưa vào một hệ thống tự động quét các ứng dụng Play Store khác cho cùng các vấn đề. Nếu qua GPSRP ứng dụng bị phát hiện dễ bị lỗi thì nhà phát triển ứng dụng đó sẽ nhận được thông báo trong Google Play Console để khắc phục các lỗi hoặc gỡ các ứng dụng này khỏi Play Store.

Hệ thống này, được đặt tên là Cải thiện bảo mật ứng dụng (App Security Improvement - ASI), đã giúp Google hưởng lợi và tối đa hóa công việc của các nhà nghiên cứu bảo mật trong GPSRP.

Google cho hay: "Trong suốt hành trình của mình, ASI đã giúp hơn 300.000 nhà phát triển sửa hơn 1.000.000 ứng dụng trên Google Play. Chỉ riêng trong năm 2018, chương trình đã giúp hơn 30.000 nhà phát triển khắc phục hơn 75.000 ứng dụng. Hiệu ứng của việc này có nghĩa là 75.000 ứng dụng dễ bị xâm phạm sẽ không được chuyển đến người dùng cho đến khi lỗi được khắc phục".

LP ((Theo zdnet.com))
Xem thêm