Cách kiếm tiền bằng việc tìm ra vấn đề bảo mật trong ứng dụng Android

Nếu là nhà phát triển ứng dụng Android có khả năng tìm ra các vấn đề bảo mật, bạn có thể kiếm được tiền khi thể hiện tài năng của mình trước Google. Tin tặc đã đưa các ứng dụng bị nhiễm phần mềm độc hại vào Google Play Store, một số phần mềm trong đó có đến hàng triệu lượt tải xuống.

Đáp trả lại việc này, Google đã mở chương trình Bug Bounty (chương trình trao thưởng cho các lỗ hổng mà người dùng phát hiện được) cho phép các nhà phát triển tìm ra những vấn đề bảo mật trong nhiều ứng dụng phổ biến. Trước đây chỉ có một vài ứng dụng được bao gồm. Giờ đây, tất cả các ứng dụng Play Store phổ biến đều là một phần của chương trình. Chương trình trả phần thưởng bằng tiền mặt cho các nhà phát triển tìm ra và báo cáo các vấn đề bảo mật.

Tại sao Google tạo ra chương trình Bug Bounty?

Google đã có một chương trình Bug Bounty cho các ứng dụng của riêng mình trong một thời gian dài. Giống như nhiều công ty, Google trao phần thưởng cho các nhà phát triển phát hiện ra những vấn đề trong trang web của mình. Hãng này cũng trao phần thưởng cho việc tìm lỗi trên trình duyệt Chrome hoặc hệ điều hành Chrome của mình. Nhưng gần đây, Google đã thực hiện bước tiến cao hơn, bằng cách cung cấp phần thưởng cho những lỗi được tìm thấy trong nhiều ứng dụng của các công ty khác nữa.

Bước đầu tiên của chương trình Bug Bounty trên Play Store chỉ áp dụng cho một số lượng rất nhỏ các ứng dụng hàng đầu. Giờ đây, Google đã mở rộng chương trình để bao quát bất kỳ ứng dụng nào trong Play Store với hơn 100 triệu lượt cài đặt. Điều này nghĩa là có nhiều cơ hội hơn cho những người “săn” lỗi phát hiện ra các vấn đề trong ứng dụng Play Store và được thưởng khi báo cáo chúng, ngay cả khi nhà phát triển ứng dụng không đưa ra các chương trình Bug Bounty của riêng họ.

Google cho biết hãng này đã giới thiệu chương trình trên với hy vọng khuyến khích cộng đồng chung tay cải thiện vấn đề bảo mật cho tất cả mọi người. Do đó, Google khuyến khích những người “săn” lỗi phát hiện ra vấn đề và báo cáo cho các nhà phát triển ứng dụng cũng như Google. Điều này mang lại cho các nhà phát triển ứng dụng gốc cơ hội sửa lỗi nhanh chóng. Và điều đó đồng nghĩa với bảo mật tốt hơn cho tất cả những người sử dụng ứng dụng Android.

Làm thế nào để tham gia vào chương trình Bug Bounty?

Làm thế nào để tham gia vào chương trình Bug Bounty?

Chương trình Bug Bounty trên Play Store được gọi là Google Play Security Reward Program (GPSRP). Google mời các nhà nghiên cứu bảo mật và nhà phát triển ứng dụng tham gia. Bước đầu tiên là điền vào một mẫu đơn đăng ký để tham gia chương trình. Bạn có thể tìm kiếm các vấn đề bảo mật trong bất kỳ ứng dụng đủ điều kiện nào trên Play Store sau khi được chấp thuận.

Có 3 loại lỗ hổng mà người tham gia tìm kiếm. Thứ nhất, các lỗ hổng Remote Code Execution (thực thi code từ xa) là các lỗ hổng cho phép tin tặc truy cập vào thiết bị của người dùng và thực hiện các thay đổi. Đây là những vấn đề bảo mật rất nghiêm trọng.

Thứ hai là vấn đề trộm cắp dữ liệu riêng tư không bảo mật. Đây là nơi một lỗ hổng cho phép tin tặc đánh cắp thông tin cá nhân như thông tin đăng nhập, lịch sử web hoặc danh sách liên lạc.

Thứ ba là quyền truy cập vào các thành phần ứng dụng được bảo vệ. Điều này đề cập đến các ứng dụng thực hiện những chức năng mà chúng không có quyền. Ví dụ, một ứng dụng gửi tin nhắn SMS ngay cả khi ứng dụng đó không có sự cho phép của người dùng để làm như vậy.

Chương trình không bao gồm một số vấn đề bảo mật. Ví dụ, các cuộc tấn công phishing, mặc dù có khả năng rất nguy hiểm, nhưng không đủ điều kiện tham gia chương trình. Nguyên nhân là do chúng hoạt động bằng cách lừa đảo người dùng, chứ không phải bằng cách chạy mã độc. Chương trình cũng không bao gồm các cuộc tấn công đòi hỏi quyền truy cập vật lý vào thiết bị.

Khi phát hiện ra một lỗi, bạn nên liên hệ với nhà phát triển ứng dụng để cho họ biết. Sau đó, bạn có thể làm việc cùng với nhà phát triển đó để khắc phục sự cố. Khi lỗ hổng đã được giải quyết, bạn có thể yêu cầu phần thưởng bằng tiền mặt từ Google.

Kiếm tiền thưởng cho việc phát hiện chuyện lạm dụng dữ liệu bởi chính ứng dụng

Kiếm tiền thưởng cho việc phát hiện chuyện lạm dụng dữ liệu bởi chính ứng dụng

Google không chỉ trao phần thưởng cho việc tìm kiếm lỗi bảo mật. Hãng này cũng đang cố gắng “trấn áp” các ứng dụng ăn cắp dữ liệu người dùng. Gần đây, công ty đã ra mắt chương trình Developer Data Protection Reward Program (DDPRP), cung cấp phần thưởng tương tự cho những nhà phát triển phát hiện ra việc lạm dụng dữ liệu bởi các ứng dụng.

Những kiểu lạm dụng dữ liệu mà chương trình đang tìm kiếm là các ứng dụng thu thập và bán dữ liệu người dùng theo cách chống lại chính sách bảo mật của Google. Ví dụ, đây có thể là một ứng dụng thu thập dữ liệu từ những cuốn sổ liên lạc của người dùng, như siêu dữ liệu cho biết họ đã gọi cho ai, vào khi nào, mà không được bảo vệ như những dữ liệu nhạy cảm.

Chương trình này cũng sẽ bao gồm các ứng dụng vi phạm những quy tắc về quyền, chẳng hạn như ứng dụng có quyền truy cập SMS, nhưng sử dụng điều này để thu thập dữ liệu về người dùng tin nhắn SMS và bán cho bên thứ ba. Ngoài ra, nó cũng bao gồm việc một ứng dụng yêu cầu quyền truy cập dữ liệu liên hệ và sau đó sử dụng lại dữ liệu đó cho một ứng dụng không liên quan.

Để xem thêm chi tiết chính xác về các kiểu lạm dụng dữ liệu đủ điều kiện tham gia chương trình, bạn có thể xem trên trang web DDPRP. Cũng như chương trình Bug Bounty, bất kỳ ứng dụng nào trên Play Store với hơn 100 triệu lượt cài đặt đều đủ điều kiện.

Phần thưởng cho việc tìm ra lỗi cụ thể ra sao?

Có phần thưởng tiền mặt được trao trong cả chương trình phát hiện lỗi và lạm dụng dữ liệu. Số tiền chi trả cho bất kỳ báo cáo nào tùy thuộc vào mức độ nghiêm trọng của vấn đề. Nó cũng phụ thuộc vào chất lượng của báo cáo gửi tới Google.

Phần thưởng cho Google Play Security Reward Program dao động từ $5.000 đến $20.000 cho các lỗi thực thi mã từ xa, từ $1.000 đến $3.000 cho lỗi đánh cắp dữ liệu riêng tư không bảo mật và từ $1.000 đến $3.000 cho lỗi truy cập vào các thành phần ứng dụng được bảo vệ. Ngoài ra, có những phần thưởng cho việc phát hiện các lỗ hổng cho những nhà phát triển ứng dụng một cách có trách nhiệm. Điều này cung cấp cho các nhà phát triển cơ hội để khắc phục vấn đề.

Phần thưởng cho Developer Data Protection Reward Program nằm trong khoảng từ $100 đến $1000. Để nhận phần thưởng, bạn cần gửi báo cáo. Bạn nên viết rõ thông tin về chính sách dữ liệu nào bị vi phạm, cách dữ liệu bị lạm dụng và danh sách số lần ứng dụng vi phạm chính sách.

Các chương trình phát hiện lỗi và lạm dụng dữ liệu của Google cho bạn cơ hội kiếm tiền. Chúng cũng cho phép bạn chung tay cải thiện tính bảo mật của các ứng dụng được phân phối thông qua Play Store. Nếu bạn quan tâm đến nhiều cơ hội “săn” lỗi hơn, bạn cũng có thể kiểm tra các chương trình của những công ty khác.

Chúc bạn thành công!

Thứ Năm, 12/09/2019 09:41
4,84 👨 262