Google Play Market’ten Bug Bounty

google-bug-bounty

Google Play Market, popüler Android uygulamalarının güvenliğini arttırmak için bir bug bounty programı başlatıyor.

Biraz geç olsa da Google sonunda Android uygulamalarını korumak için bir adım attı.
Google, güvenlik araştırmacılarını uygulama marketinde bulunan uygulamaların güvenlik açıklarını bulmaya ve raporlamaya davet ediyor. Güvenlik araştırmacılarına hedef olarak Google Play Market’te bulunan Android uygulamaları gösteriliyor.

“Google Play Security Reward” olarak adlandırılan bug bounty programı, güvenlik araştırmacılarının uygulamaların güvenliği hakkında direkt olarak Android uygulama geliştiricileriyle birlikte çalışmasını amaçlıyor. Ayrıca güvenlik araştırmacılarına ödül olarak $1000 vermeyi de planlıyor.

Google’ın bu hafta yayınlanan bir blog yazısında şu sözler kullanılıyor:

Programın amacı marketimizde bulunan uygulamaların güvenliğini arttırmak. Bu sayede hem geliştiricilere hem Android kullanıcılarına hem de tüm Google Play ekosistemine fayda sağlanacaktır.

Google bug bounty programını yürütmek, bulunan zafiyetlerin raporlarını almak ve etik bilgisayar korsanlarını/araştırmacılarını programına davet etmek için HackerOne platformunu kullanıyor.

Bug bounty programına katılmak isteyen araştırmacılar buldukları güvenlik açıklarını öncelikle uygulamanın geliştiricisine bildirmek zorunda. Uygulamanın geliştiricisi bildirilen sorunu çözdükten sonra araştırmacı bulduğu güvenlik açığının raporunu HackerOne’a gönderebilir.

Programa katılıp, fayda sağlayan araştırmacılara Google $1000 civarında bir para ödülü verecek. İlerleyen günlerde şirketlere göre daha fazla kriter eklenecek ve daha fazla kapsam eklenecek.

Tüm güvenlik açıkları öncelikle doğrudan uygulama geliştiricisine bildirilmelidir. Yalnızca geliştirici tarafından çözüme kavuşturulmuş güvenlik açıkları bug bounty programına gönderilebilir. Şimdilik bu programın kapsamı Android 4.4 veya daha üst sürümlerinde çalışan uygulamaların güvenlik açıklarını içeriyor. Araştırmacılardan RCE (remote-code-execution) ve POC (proof-of-concept) bulmaları bekleniyor.

Şu an için Google’ın bug bounty programına dahil olan uygulamalar şunlarla sınırlı: Alibaba, Snapchat, Duolingo, Line, Dropbox, Headspace, Mail.ru ve Tinder.