Si vous êtes un développeur d'applications Android capable de détecter les problèmes de sécurité, vous pouvez gagner de l'argent en montrant votre talent à Google. Les pirates ont introduit sur le Google Play Store des applications infectées par des logiciels malveillants, dont certaines ont été téléchargées des millions de fois.
En réponse à cela, Google a ouvert un programme Bug Bounty (un programme de récompense pour les vulnérabilités découvertes par les utilisateurs) qui permet aux développeurs de détecter des problèmes de sécurité dans de nombreuses applications populaires. Auparavant, seules quelques applications étaient incluses. Désormais, toutes les applications populaires du Play Store font partie du programme. Le programme verse des récompenses en espèces aux développeurs qui détectent et signalent des problèmes de sécurité.
Trouver des problèmes de sécurité dans les applications Android - Votre opportunité de gagner de l'argent avec Google
Pourquoi Google a-t-il créé le programme Bug Bounty ?
Google dispose depuis longtemps d'un programme Bug Bounty pour ses propres applications. Comme de nombreuses entreprises, Google offre des récompenses aux développeurs qui découvrent des problèmes sur ses sites Web. La société offre également des récompenses pour la détection de bugs dans son navigateur Chrome ou son système d'exploitation Chrome. Mais récemment, Google est allé plus loin en offrant également des récompenses pour les bugs détectés dans les applications de nombreuses autres entreprises.
La première étape du programme Play Store Bug Bounty ne s’applique qu’à un très petit nombre d’applications phares. Désormais, Google a étendu le programme pour couvrir toutes les applications du Play Store avec plus de 100 millions d'installations. Cela signifie qu'il y a plus de possibilités pour les chasseurs de bugs de découvrir des problèmes dans les applications du Play Store et d'être récompensés pour les avoir signalés, même si les développeurs d'applications ne proposent pas de programmes de bugs.
Google a déclaré avoir introduit le programme ci-dessus dans l'espoir d'encourager la communauté à se donner la main pour améliorer la sécurité de tous. Par conséquent, Google encourage les chasseurs de bogues à découvrir les problèmes et à les signaler aux développeurs d'applications et à Google. Cela donne aux développeurs d’applications natives la possibilité de corriger rapidement les bugs. Et cela signifie une meilleure sécurité pour tous ceux qui utilisent des applications Android.
Comment participer au programme Bug Bounty ?
Le programme Bug Bounty sur Play Store s'appelle Google Play Security Reward Program (GPSRP) . Google invite les chercheurs en sécurité et les développeurs d'applications à participer. La première étape consiste à remplir un formulaire de candidature pour rejoindre le programme. Vous pouvez rechercher des problèmes de sécurité dans n'importe quelle application éligible sur le Play Store une fois approuvée.
Les participants recherchent trois types de vulnérabilités. Premièrement, les vulnérabilités d'exécution de code à distance sont des vulnérabilités qui permettent aux pirates informatiques d'accéder à l'appareil d'un utilisateur et d'y apporter des modifications. Ce sont des problèmes de sécurité très graves.
Le deuxième problème est le vol de données privées non sécurisées. C'est là qu'une vulnérabilité permet aux pirates de voler des informations personnelles telles que les identifiants de connexion, l'historique Web ou les listes de contacts.
Troisièmement, l'accès aux composants d'application protégés. Il s'agit d'applications qui exécutent des fonctions pour lesquelles elles ne disposent pas d'autorisations. Par exemple, une application envoie des messages SMS même si elle n'a pas l'autorisation de l'utilisateur pour le faire.
Le programme ne couvre pas certains problèmes de sécurité. Par exemple, les attaques de phishing , bien que potentiellement très dangereuses, ne sont pas éligibles au programme. La raison en est qu’ils opèrent en fraudant les utilisateurs, et non en exécutant du code malveillant. Le programme ne couvre pas non plus les attaques nécessitant un accès physique à l’appareil.
Lorsque vous découvrez une erreur, vous devez contacter le développeur de l'application pour le lui faire savoir. Vous pouvez ensuite travailler avec ce développeur pour résoudre le problème. Une fois la vulnérabilité résolue, vous pouvez demander une récompense en espèces à Google.
Gagnez des récompenses en détectant les abus de données par les applications elles-mêmes
Google n'offre pas seulement des récompenses pour la détection de bugs de sécurité. L'entreprise tente également de « supprimer » les applications qui volent les données des utilisateurs. Récemment, la société a lancé le Developer Data Protection Reward Program (DDPRP) , qui offre des récompenses similaires aux développeurs qui découvrent une utilisation abusive des données par les applications.
Les types d'abus de données recherchés par le programme sont les applications qui collectent et vendent des données utilisateur d'une manière qui va à l'encontre des politiques de confidentialité de Google. Par exemple, il pourrait s'agir d'une application qui collecte des données à partir des carnets de contacts des utilisateurs, telles que des métadonnées sur qui ils ont appelé et quand, sans être protégées en tant que données sensibles.
Le programme inclura également des applications qui enfreignent les règles d'autorisation, telles que les applications qui ont accès aux SMS, mais qui utilisent ces données pour collecter des données sur les utilisateurs de SMS et les vendre à des tiers. De plus, il comprend également une application demandant l'autorisation d'accéder aux données de contact, puis de réutiliser ces données pour une application non liée.
Pour voir des détails plus précis sur les types d'abus de données éligibles au programme, vous pouvez consulter le site Web du DDPRP . Comme pour le programme Bug Bounty, toute application du Play Store comptant plus de 100 millions d’installations est éligible.
Quelle est la récompense pour avoir trouvé un bug spécifique ?
Des récompenses en espèces sont accordées dans les programmes de détection de bogues et d'abus de données. Le montant payé pour tout rapport dépend de la gravité du problème. Cela dépend aussi de la qualité du rapport envoyé à Google.
Les récompenses du programme de récompense de sécurité de Google Play vont de 5 000 $ à 20 000 $ pour les bogues d'exécution de code à distance, de 1 000 $ à 3 000 $ pour le vol de données privées non sécurisées et de 1 000 $ à 3 000 $ pour l'accès aux composants. La partie application est protégée. De plus, les développeurs d'applications responsables sont récompensés pour la détection des vulnérabilités. Cela donne aux développeurs la possibilité de résoudre le problème.
Les récompenses du programme de récompense pour la protection des données des développeurs vont de 100 $ à 1 000 $. Pour recevoir la récompense, vous devez soumettre un rapport. Vous devez clairement noter les informations sur les politiques de données qui ont été violées, la manière dont les données ont été utilisées de manière abusive, ainsi qu'une liste du nombre de fois où l'application a violé les politiques.
Les programmes de détection d'abus de données et d'erreurs de Google vous donnent la possibilité de gagner de l'argent. Ils vous permettent également de contribuer à améliorer la sécurité des applications distribuées via le Play Store. Si vous êtes intéressé par davantage d'opportunités de chasse aux bogues, vous pouvez également consulter les programmes d'autres sociétés.
Bonne chance!