גוגל תשלם לכם עכשיו גם אם תמצאו באגים באפליקציות שהן לא שלה

במקום שהאקרים וחוקרי אבטחה ימכרו חולשת ופירצות לגורמים מסוכנים, גוגל מקימה ׳׳מלשינונים׳׳ שיסייעו להפוך את המוצרים שלה להרבה יותר בטוחים

תמונה: גוגל

אחרי שאפל הרחיבה את תוכנית איתור האיומים שלה בצורה משמעותית, גם גוגל רוצה להפוך את הסביבות שלה להרבה יותר בטוחות, אבל כשאתם מורידים אפליקציה מגוגל פליי ומתגלה בה חור אבטחה חמור. את מי חלקכם יאשים? סביר להניח שאת ״אנדרואיד״. נראה שגם גוגל יודעת את זה, ורוצה שיהיו לכם הרבה פחות סיבות לכעוס עליה ויותר סיבות להרגיש בטוחים באנדרואיד, ולכן היא מרחיבה את תוכנית האבטחה שלה הרבה מעבר לאפליקציות ולסביבות שלה, ומבקשת מהאקרים ומחוקרי אבטחה להתמקד באפליקציות שהן כלל לא שלה.


למה שגוגל תשלם להאקרים?

אצל לא מעט מחברות הטכנולוגיה יש נוהל קבוע: אתם תחטטו במוצרים ובקוד של החברה, תמצאו את הבעיות שצוותי ה-QA והאבטחה הצליחו לפספס, תדווחו לחברה עליהן באופן דיסקרטי (ולא תפרסמו אותן ברבים או תמכרו אותן לגורמים מסוכנים), החברה תימצא את הפתרון הראוי לחסימת האיום ואתם תקבלו סכום כסף בהתאם לאיום שמצאתם. פשוט ממש כמו ציידי ראשים במערב הפרוע. לתוכניות הללו קוראים “Bounty Program”, והן מסייעות לכל הצדדים המעורבים: לקהילת האבטחה ואפילו להאקרים יש תמריץ לעבודתם הקשה, ובמקביל, החברות משפרות את אבטחת המוצרים שלהן, ולא צריכות לתקן את הפירצות רק אחרי שהן מתגלות ועושות נזק. כלל המשתמשים מרוויחים מכך שהמוצרים שלהם הופכים להרבה יותר מאובטחים, ואותן פירצות לא מגיעות לשוק השחור או כמובן מנוצלות לרעה על ידי “הרעים”.


אתם יכולים להרוויח כסף משני גורמים

תוכנית התגמולים של Google Play, או GPSRP בקצרה, שהתחילה ביוני 2017,  קוראת כעת לחוקרי אבטחה ולהאקרים למצוא פירצות אבטחה ובאגים גם באפליקציות צד-שלישי ב-Google Play שיש להן יותר מ-100 מיליון התקנות, בין אם לאלו יש תוכנית Bounty משלהן או לא. לאחר הדיווח לגוגל, החברה תעביר את המידע בצורה בטוחה למפתחת של האפליקציה המדוברת, ותשלם למי שדיווח על הבעיה. ויש עוד ״האק״ לתוכנית: אם מצאתם בעיית אבטחה באפליקציה של חברה שיש לה כבר תוכנית Bounty משלה, תוכלו לקבל את סכום הכסף המוצע גם מהחברה וגם מגוגל. עד כה התוכנית שילמה יותר מרבע מיליון דולר להאקרים, אך הרחבת התוכנית צפויה גם להגדיל את כמות התשלומים הזאת.

מעכשיו גיקטיים גם בטלגרם מעכשיו גיקטיים גם בטלגרם להצטרפות לערוץ הטלגרם שלנו לחץ כאן

גוגל עושה את הצעד המעניין הזה מסיבה טובה: המידע שאתם מעבירים לה אודות הפירצה משמש אותה לשכלול של כלי הסריקה האוטומטי של אפליקציות, ובכך היא יכולה למצוא את אותן הבעיות באפליקציות אחרות ב-Google Play, לדווח עליהן למפתחים באמצעות ה-Play Console ולתת למפתחים כלים כדי לתקן את בעיות האבטחה הללו. בזכות ההרחבה הזאת, גוגל עשויה להפוך לא מעט אפליקציות להרבה יותר בטוחות בעזרת סיוע מהקהילה. בחברה טוענים כי רק ב-2018 היא סייעה ל-30,000 מפתחים לתקן יותר מ-75,000 אפליקציות.

משיקה גם ״מלשינון״ למכירת מידע

בנוסף, גוגל הכריזה גם על ה-Developer Data Protection Reward Program, או DDPRP בקיצור. זוהי תוכנית Bounty חדשה אשר מתמקדת בזיהוי של שימוש או איסוף לא נאות של מידע אשר מפר את תנאי השימוש של גוגל. התוכנית הזאת לא עוצרת רק בעולמות האנדרואיד, אלא גם בפרויקטי OAuth ואפילו בתוספים לכרום. אם תספקו לגוגל הוכחות שגורם כלשהו משתמש במידע בצורה לא נאותה, בין אם הוא מוכר אותו, אוסף אותו ללא ידיעת ואישור המשתמש או משתמש בו בצורה לא נאותה, אתם פשוט תקבלו כסף. בגוגל טוענים כי סכום הפרס המקסימלי עומד על כ-50,000 דולר. במקביל, גוגל תדאג להסביר את האפליקציה או התוסף הסורר, או תנתק את הגישה שלו ל-API.

 

עידן בן טובים

נולד עם ג׳ויסטיק ביד. יש לו הרבה יותר מדי גאדג׳טים והרבה פחות מדי זמן פנוי כדי לשחק עם כולם. בעל פטיש לא מוסבר לביצוע קליברציות לסוללות של מכשירים. כשהוא לא עסוק בלכתוב על טכנולוגיה, הוא אוהב לדבר עליה, והרבה

הגב

7 תגובות על "גוגל תשלם לכם עכשיו גם אם תמצאו באגים באפליקציות שהן לא שלה"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
closh
Guest

מעולה. מכניסים באג, מבקשים מחבר לדווח עליו ומקבלים כסף

מישהו
Guest

רק אם יש לך אפליקציה עם מעל מאה מיליון הורדות, לא כלה כך פשוט

The One
Guest

למישהו יש קשרים בWaze?
בוא נעשה איתם עסקה..באגים תמורת חצי מהרווחים
מגוגל מהמציאה שלהם..
ממש כמו Easter Eggs במשחקים

מישהו
Guest

אם גוגל רק היתה מאפשרת לדווח על לינק כמזיק או ספאם וחוסמת אותו מהחיפוש ומכרום האינטרנט היה בטוח בהרבה, אבל למה לעשות את זה אם אפשר לעשות באונטי.
כמובן להגדיר כללים טכניים ולהעביר את הלינק דרך סקריפט בדיקה לא בדיקה אנושית או ddos של דיווחים

מישהו
Guest

אגב, גוגל היא לא מלכ”ר, העלות של זה תרד מהרווחים שגוגל מעבירה למפתחים – כלומר מחירי האפליקציות יגלמו את הירידה ברווחים

מני
Guest

היא לא מלכ”ר אך היא גם לא מכולת. החישובים שלהם לא עד כדי כך פשטניים. בסופו של דבר המוניטין שלהם הוא הדבר החשוב. הם יודעים שעם השנים בעיות האבטחה באפליקציות מהחנות שלהם יהפכו משמעותיות וידועות יותר ושכדאי להם לעשות עם זה משהו כמה שיותר מוקדם.

באגי
Guest

אז כמה הם משלמים פר באג?

wpDiscuz

תגיות לכתבה: