Chương trình tiền thưởng lỗi Google

Trước sự gia tăng đáng kể của các vụ lạm dụng dữ liệu và các ứng dụng malware được phát hiện trên Play Store, Google mới đây đã quyết định mở rộng chương trình tiền thưởng lỗi (bug bounty program) của mình để tăng cường bảo mật cho các ứng dụng Android và tiện ích mở rộng Chrome được phân phối qua nền tảng của công ty.

>Tham khảo: Bug Bounty là gì?

Việc mở rộng chương trình phần thưởng dành cho các phát hiện về lỗ hổng của Google chủ yếu bao gồm hai thông báo chính.

Thông báo đầu tiên là một chương trình mới được ra mắt mang tên ‘Chương trình phần thưởng bảo vệ dữ liệu dành cho nhà phát triển’ (Developer Data Protection Reward Program – DDPRP), trong đó Google sẽ trao thưởng cho các nhà nghiên cứu bảo mật và các ‘hacker mũ trắng’ tìm thấy các “bằng chứng rõ ràng” về các vấn đề lạm dụng dữ liệu trong các ứng dụng Android, dự án OAuth và tiện ích mở rộng Chrome.

Thông báo thứ hai là sự mở rộng phạm vi của Chương trình Phần thưởng Bảo mật Google Play (Google Play Security Rewards Program – GPSRP) bao gồm tất cả các ứng dụng Android từ Cửa hàng Google Play với hơn 100 triệu lượt cài đặt trở lên, giúp các nhà phát triển ứng dụng bị ảnh hưởng khắc phục lỗ hổng thông qua các tiết lộ có trách nhiệm.

Nhận tiền thưởng để tìm kiếm các ứng dụng Android và Chrome lạm dụng dữ liệu

Chương trình tiền thưởng dành cho các lỗi lạm dụng dữ liệu được thiết lập nhằm tránh các vụ bê bối như Cambridge Analytica đã khiến Facebook phải trả tới 5 tỷ đô la tiền phạt vì không xác định được tình huống dữ liệu người dùng bị sử dụng trái phép mà không có sự đồng ý hoặc nhận thức rõ ràng của họ.

Trong bài đăng trên blog được công bố mới đây, Google cho biết nếu việc lạm dụng dữ liệu được xác định có liên quan đến một ứng dụng hoặc một tiện ích mở rộng Chrome thì ứng dụng hoặc tiện ích mở rộng đó sẽ bị xóa khỏi Google Play hoặc Google Chrome Web Store.

Trong trường hợp nhà phát triển ứng dụng lạm dụng quyền truy cập vào phạm vi bị hạn chế của Gmail, quyền truy cập API (Application Programming Interface – Giao diện lập trình ứng dụng) của họ sẽ bị xóa.

Hiện tại, Google vẫn chưa công bố các mức phần thưởng chi tiết cho chương trình DDPRP nhưng tùy thuộc vào mức độ tác động, người báo cáo có thể nhận được tới 50.000 đô la tiền thưởng.

Chương trình tiền thưởng lỗi áp dụng cho tất cả các ứng dụng Android với trên 100 triệu lượt tải xuống

Mặt khác, Chương trình GPSRP được ra mắt lần đầu vào năm 2017 vốn chỉ giới hạn ở việc báo cáo các lỗ hổng trong các ứng dụng Android phổ biến trong Google Play Store thì nay cũng đã thay đổi.

Thông báo mới nhất từ Google cho biết công ty sẽ làm việc với các nhà phát triển của hàng trăm ngàn ứng dụng Android có tối thiểu 100 triệu lượt tải xuống để giúp họ nhận được các báo cáo về lỗ hổng và hướng dẫn về cách vá chúng trên Play Console.

Google cho biết các ứng dụng này hiện đủ điều kiện để tham gia vào chương trình tiền thưởng lỗi ngay cả khi các nhà phát triển ứng dụng không có chương trình tiền thưởng lỗi hoặc tiết lộ lỗ hổng của riêng mình.

Nếu các nhà phát triển đã có chương trình riêng, ngoài khoản tiền thưởng từ Google, các nhà nghiên cứu còn có thể nhận được phần thưởng trực tiếp từ các nhà phát triển ứng dụng.

Là một phần của chương trình Cải thiện Bảo mật Ứng dụng của Google (App Security Improvement – ASI), sáng kiến ​​hiện có này đã giúp hơn 300.000 nhà phát triển sửa hơn 1.000.000 ứng dụng trên Google Play Store.

Hy vọng, cả hai biện pháp này sẽ giúp Google ngăn chặn các ứng dụng Android và tiện ích mở rộng độc hại của Chrome lạm dụng dữ liệu của người dùng cũng như tăng cường bảo mật cho các ứng dụng được phân phối thông qua Play Store.

THN

The post Google sẽ trả tiền cho bất kỳ ai báo cáo các ứng dụng lạm dụng dữ liệu của người dùng appeared first on SecurityDaily.