Nå kan du få 300.000,- for å hacke Android-apper

Google har annonsert et nytt bug bounty-program rettet mot førsteparts Android-applikasjoner.

Google lover vekk priser på opptil 30.000 dollar hvis du klarer å hacke Android-appene til selskapet. 📸: <a href="https://unsplash.com/@czapp_arpad?utm_source=unsplash&amp;utm_medium=referral&amp;utm_content=creditCopyText">Árpád Czapp</a> / <a href="https://unsplash.com/photos/3XVSkqlJI0k?utm_source=unsplash&amp;utm_medium=referral&amp;utm_content=creditCopyText">Unsplash</a>
Google lover vekk priser på opptil 30.000 dollar hvis du klarer å hacke Android-appene til selskapet. 📸: Árpád Czapp / Unsplash Vis mer

Google annonserte mandag et nytt bug bounty-program kalt Mobile Vulnerability Rewards Program (Mobile VRP).

Programmet fokuserer på førsteparts Android-applikasjoner utviklet eller vedlikeholdt av Google, skriver selskapet.

Google lover vekk priser på opptil 30.000 dollar. I skrivende stund blir dette 328.621 norske kroner.

Disse får du betalt for å hacke

Utbetalingene i programmet baserer seg på tre definerte applikasjonsnivåer, såkalte "tiers" Det er Googles Mobile VRP-panelet som bestemmer hvilken kategori en søknad faller inn i.

Ifølge Google får du betalt for å hacke disse appene: Google LLC, Developed with Google, Research at Google, Red Hot Labs, Google Samples, Fitbit LLC, Nest Labs Inc, Waymo LLC og Waze.

I tillegg til appene i "Tier 1"-listen: Google Play Services, AGSA, Google Chrome, Google Cloud, Gmail og Chrome Remote Desktop

Ikke lov å lure brukeren

Det er hovedsaklig to kategorier av sårbarheter som gir deg penger i banken. Den første er "Arbitrary code execution" (ACE), som lar angripere kjøre vilkårlig kode.

- For å kvalifisere, bør ACE tillate en angriper å kjøre "native" kode etter eget valg på en brukers enhet uten at brukeren er klar over det eller har gitt tillatelse, i samme prosess som den berørte appen, skriver Google.

Ifølge Google er det ikke noe krav om at OS-sandkassen må omgås. Men selskapet påpeker at det ikke er innenfor å lure en bruker til å installere en app for å så kjøre kode i appen.

Gir penger for sensitive data

Den andre kategorien inkluderer sårbarheter som fører til uautorisert tilgang til sensitive data fra en app på en Android-enhet.

Google definerer her sensitive data som:

  • Data som muliggjør muliggjør uautorisert tilgang til en brukers konto.
  • Sensitive brukergenererte data, som kontaktlisteinformasjon, bilder, innholdet i en brukers meldinger, anrops-/SMS-logger, netthistorikk, eller bokmerker.
  • Informasjon som er knyttet til eller kan kobles til en enkeltperson

Du kan tjene på andre sårbarheter

Andre sårbarheter som kan vurderes er sårbarheter som viser seg å ha en betydning for sikkerheten.

- Vanligvis er dette svakheter som må brukes sammen med andre sårbarheter for å opprette en "exploit chain", skriver Google.