Trước các vụ bê bối lạm dụng dữ liệu và một số trường hợp ứng dụng phần mềm độc hại được phát hiện trên Cửa hàng Play, Google hôm nay đã mở rộng chương trình tiền thưởng lỗi để tăng cường bảo mật cho các ứng dụng Android và tiện ích mở rộng của Chrome được phân phối thông qua nền tảng của mình.
Việc mở rộng chương trình phần thưởng lỗ hổng của Google chủ yếu bao gồm hai thông báo chính.
Đầu tiên, một chương trình mới có tên là ‘Chương trình phần thưởng bảo vệ dữ liệu dành cho nhà phát triển’ (DDPRP), trong đó Google sẽ thưởng cho các nhà nghiên cứu bảo mật và tin tặc tìm thấy “bằng chứng rõ ràng và có thể xác minh” về các vấn đề lạm dụng dữ liệu trong các ứng dụng Android, dự án OAuth và tiện ích mở rộng của Chrome.
Thứ hai, mở rộng phạm vi của Chương trình phần thưởng bảo mật Google Play (GPSRP) để bao gồm tất cả các ứng dụng Android từ Cửa hàng Google Play có hơn 100 triệu lượt cài đặt trở lên, giúp các nhà phát triển ứng dụng bị ảnh hưởng khắc phục các lỗ hổng thông qua việc tiết lộ một cách có trách nhiệm.’
Danh mục bài viết
Nhận tiền thưởng để tìm các ứng dụng Android và Chrome lạm dụng dữ liệu
Chương trình tiền thưởng cho lỗi lạm dụng dữ liệu nhằm mục đích tránh các vụ bê bối như Cambridge Analytica đã khiến Facebook bị phạt 5 tỷ đô la vì không xác định được các tình huống trong đó dữ liệu người dùng đang được sử dụng hoặc bán bất ngờ hoặc tái sử dụng bất hợp pháp mà không có sự đồng ý của người dùng.
“Nếu việc lạm dụng dữ liệu được xác định có liên quan đến một ứng dụng hoặc tiện ích mở rộng của Chrome, thì ứng dụng hoặc tiện ích mở rộng đó sẽ bị xóa khỏi Google Play hoặc Cửa hàng Google Chrome trực tuyến”, Google cho biết trong bài đăng trên blog được xuất bản hôm nay.
“Trong trường hợp nhà phát triển ứng dụng lạm dụng quyền truy cập vào phạm vi hạn chế của Gmail, quyền truy cập API của họ sẽ bị xóa.”
Google vẫn chưa công bố bất kỳ bảng thưởng nào cho chương trình DDPRP nhưng đảm bảo rằng một báo cáo đơn lẻ có thể kiếm được khoản tiền thưởng lên tới 50.000 đô la tùy thuộc vào tác động.
Tiền thưởng lỗi trên tất cả ứng dụng Android với hơn 100 triệu lượt tải xuống
Mặt khác, Chương trình GPSRP, được ra mắt lần đầu vào năm 2017, cho đến nay chỉ giới hạn ở việc báo cáo các lỗ hổng trong các ứng dụng Android phổ biến trong Cửa hàng Google Play.
Trở thành Chuyên gia ứng phó sự cố!
Mở khóa các bí mật để ứng phó với sự cố chống đạn – Nắm vững quy trình 6 Giai đoạn với Asaf Perlman, Trưởng nhóm IR của Cynet!
Đừng bỏ lỡ – Tiết kiệm chỗ ngồi của bạn!
Với thông báo mới nhất, Google hiện sẽ làm việc với các nhà phát triển của hàng trăm nghìn ứng dụng Android, mỗi ứng dụng có ít nhất 100 triệu lượt tải xuống, giúp họ nhận được các báo cáo về lỗ hổng và hướng dẫn về cách vá chúng trên Play Console của họ.
Google cho biết: “Những ứng dụng này hiện đủ điều kiện nhận phần thưởng, ngay cả khi các nhà phát triển ứng dụng không có chương trình tiết lộ lỗ hổng bảo mật hoặc chương trình tiền thưởng lỗi của riêng họ”.
“Nếu các nhà phát triển đã có chương trình của riêng họ, các nhà nghiên cứu có thể nhận phần thưởng trực tiếp từ họ ngoài phần thưởng từ Google.”
Là một phần của chương trình Cải tiến Bảo mật Ứng dụng (ASI) của Google, sáng kiến hiện có này đã giúp hơn 300.000 nhà phát triển khắc phục hơn 1.000.000 ứng dụng trên Cửa hàng Google Play.
Hy vọng rằng cả hai biện pháp hiện sẽ cho phép Google ngăn các ứng dụng Android độc hại và tiện ích mở rộng của Chrome lạm dụng dữ liệu của người dùng, cũng như tăng cường bảo mật cho các ứng dụng được phân phối qua Play Store.
