วิธีสร้างรายได้ด้วยการค้นหาปัญหาด้านความปลอดภัยในแอปพลิเคชัน Android

หากคุณเป็น นักพัฒนาแอปAndroidที่สามารถค้นหาปัญหาด้านความปลอดภัย คุณสามารถสร้างรายได้ด้วยการแสดงความสามารถของคุณต่อ Google แฮกเกอร์ได้นำแอปที่ติดมัลแวร์มาสู่ Google Play Store ซึ่งบางแอปมียอดดาวน์โหลดหลายล้านครั้ง

เพื่อตอบสนองต่อสิ่งนี้Googleจึงเปิดโปรแกรม Bug Bounty (โปรแกรมรางวัลสำหรับช่องโหว่ที่ผู้ใช้ค้นพบ) ซึ่งช่วยให้นักพัฒนาสามารถค้นหาปัญหาด้านความปลอดภัยในแอปพลิเคชันยอดนิยมมากมาย ก่อนหน้านี้มีเพียงไม่กี่แอปเท่านั้นที่รวมอยู่ด้วย ตอนนี้แอป Play Store ยอดนิยมทั้งหมดเป็นส่วนหนึ่งของโปรแกรมแล้ว โปรแกรมจะจ่ายรางวัลเป็นเงินสดให้กับนักพัฒนาที่พบและรายงานปัญหาด้านความปลอดภัย

การค้นหาปัญหาด้านความปลอดภัยในแอปพลิเคชัน Android - โอกาสสร้างรายได้จาก Google

• เหตุใด Google จึงสร้างโปรแกรม Bug Bounty
• จะเข้าร่วมโปรแกรม Bug Bounty ได้อย่างไร?
• รับรางวัลจากการตรวจพบการละเมิดข้อมูลโดยแอปเอง
• รางวัลสำหรับการค้นหาจุดบกพร่องเฉพาะคืออะไร?

เหตุใด Google จึงสร้างโปรแกรม Bug Bounty

Google มีโปรแกรม Bug Bounty สำหรับแอปของตัวเองมาเป็นเวลานาน เช่นเดียวกับหลายๆ บริษัท Google เสนอรางวัลให้กับนักพัฒนาที่พบปัญหาในเว็บไซต์ของตน บริษัทยังเสนอรางวัลสำหรับการค้นหาข้อบกพร่องในเบราว์เซอร์ Chrome หรือระบบปฏิบัติการ Chrome แต่เมื่อเร็วๆ นี้ Google ได้ก้าวไปอีกขั้นด้วยการเสนอรางวัลสำหรับข้อบกพร่องที่พบในแอปของบริษัทอื่นๆ หลายแห่งเช่นกัน

ขั้นตอนแรกของโปรแกรม Play Store Bug Bounty ใช้กับแอปยอดนิยมจำนวนน้อยมากเท่านั้น ขณะนี้ Google ได้ขยายโปรแกรมให้ครอบคลุมแอปใดๆ ใน Play Store ที่มีการติดตั้งมากกว่า 100 ล้านครั้ง ซึ่งหมายความว่ามีโอกาสมากขึ้นสำหรับนักล่าข้อบกพร่องในการค้นพบปัญหาในแอป Play Store และได้รับรางวัลสำหรับการรายงานปัญหาเหล่านั้นแม้ว่านักพัฒนาแอปจะไม่เสนอโปรแกรมข้อบกพร่องก็ตาม เงินรางวัลของพวกเขาเอง

Google กล่าวว่าได้แนะนำโปรแกรมข้างต้นโดยหวังว่าจะสนับสนุนให้ชุมชนร่วมมือกันเพื่อปรับปรุงความปลอดภัยสำหรับทุกคน ดังนั้น Google จึงสนับสนุนให้นักล่าข้อบกพร่องค้นพบปัญหาและรายงานให้นักพัฒนาแอปพลิเคชันและ Google ทราบ สิ่งนี้ทำให้นักพัฒนาแอพเนทีฟมีโอกาสแก้ไขจุดบกพร่องได้อย่างรวดเร็ว และนั่นหมายถึงการรักษาความปลอดภัยที่ดีขึ้นสำหรับทุกคนที่ใช้แอป Android

จะเข้าร่วมโปรแกรม Bug Bounty ได้อย่างไร?

โปรแกรม Bug Bounty บน Play Store เรียกว่าGoogle Play Security Reward Program (GPSRP ) Google เชิญนักวิจัยด้านความปลอดภัยและนักพัฒนาแอปพลิเคชันให้เข้าร่วม ขั้นตอนแรกคือการกรอกแบบฟอร์มใบสมัครเพื่อเข้าร่วมโปรแกรม คุณสามารถค้นหาปัญหาด้านความปลอดภัยในแอปที่มีสิทธิ์บน Play Store เมื่อได้รับอนุมัติแล้ว

มีช่องโหว่สามประเภทที่ผู้เข้าร่วมมองหา ประการแรก ช่องโหว่การเรียกใช้โค้ดจากระยะไกลเป็นช่องโหว่ที่ทำให้แฮกเกอร์สามารถเข้าถึงอุปกรณ์ของผู้ใช้และทำการเปลี่ยนแปลงได้ สิ่งเหล่านี้เป็นปัญหาด้านความปลอดภัยที่ร้ายแรงมาก

ประการที่สองคือปัญหาการขโมยข้อมูลส่วนตัวที่ไม่ปลอดภัย นี่คือจุดที่ช่องโหว่ทำให้แฮกเกอร์สามารถขโมยข้อมูลส่วนบุคคล เช่น ข้อมูลการเข้าสู่ระบบ ประวัติเว็บ หรือรายชื่อผู้ติดต่อ

ประการที่สามคือการเข้าถึงส่วนประกอบแอปพลิเคชันที่ได้รับการป้องกัน นี่หมายถึงแอปพลิเคชันที่ทำงานโดยไม่ได้รับอนุญาต ตัวอย่างเช่น แอปพลิเคชันจะส่งข้อความ SMS แม้ว่าจะไม่ได้รับอนุญาตจากผู้ใช้ก็ตาม

โปรแกรมไม่ครอบคลุมถึงปัญหาด้านความปลอดภัยบางประการ ตัวอย่างเช่นการโจมตีแบบฟิชชิ่งแม้ว่าจะเป็นอันตรายมาก แต่ก็ไม่มีสิทธิ์เข้าร่วมโปรแกรมนี้ เหตุผลก็คือเพราะพวกเขาทำงานโดยการฉ้อโกงผู้ใช้ ไม่ใช่โดยการเรียกใช้โค้ดที่เป็นอันตราย โปรแกรมยังไม่ครอบคลุมถึงการโจมตีที่ต้องมีการเข้าถึงทางกายภาพกับอุปกรณ์

เมื่อคุณพบข้อผิดพลาด คุณควรติดต่อนักพัฒนาแอปเพื่อแจ้งให้ทราบ จากนั้นคุณสามารถทำงานร่วมกับนักพัฒนาซอฟต์แวร์รายนั้นเพื่อแก้ไขปัญหาได้ เมื่อแก้ไขช่องโหว่แล้ว คุณสามารถขอรางวัลเงินสดจาก Google ได้

รับรางวัลจากการตรวจพบการละเมิดข้อมูลโดยแอปเอง

Google ไม่เพียงแต่เสนอรางวัลสำหรับการค้นหาจุดบกพร่องด้านความปลอดภัยเท่านั้น บริษัทยังพยายาม "ระงับ" แอปพลิเคชันที่ขโมยข้อมูลผู้ใช้อีกด้วย เมื่อเร็วๆ นี้ บริษัทได้เปิดตัวโปรแกรมรางวัลการปกป้องข้อมูลสำหรับนักพัฒนา (DDPRP)ซึ่งมอบรางวัลที่คล้ายกันให้กับนักพัฒนาที่ค้นพบการใช้ข้อมูลในทางที่ผิดโดยแอพ

ประเภทของการละเมิดข้อมูลที่โปรแกรมกำลังมองหาคือแอปที่รวบรวมและขายข้อมูลผู้ใช้ในลักษณะที่ขัดกับนโยบายความเป็นส่วนตัวของ Google ตัวอย่างเช่น อาจเป็นแอปพลิเคชันที่รวบรวมข้อมูลจากสมุดติดต่อของผู้ใช้ เช่น ข้อมูลเมตาเกี่ยวกับบุคคลที่พวกเขาโทรหาและเวลาใด โดยไม่ได้รับการคุ้มครองเป็นข้อมูลที่ละเอียดอ่อน เป็นหวัด

โปรแกรมยังจะรวมถึงแอปที่ละเมิดกฎการอนุญาต เช่น แอปที่สามารถเข้าถึง SMS ได้ แต่ใช้เพื่อรวบรวมข้อมูลเกี่ยวกับผู้ใช้ SMS และขายให้กับบุคคลที่สาม พ่อ นอกจากนี้ยังมีแอปที่ขอสิทธิ์ในการเข้าถึงข้อมูลผู้ติดต่อ จากนั้นนำข้อมูลนั้นไปใช้ซ้ำสำหรับแอปที่ไม่เกี่ยวข้อง

หากต้องการดูรายละเอียดที่ชัดเจนยิ่งขึ้นเกี่ยวกับประเภทของการละเมิดข้อมูลที่มีคุณสมบัติเหมาะสมสำหรับโปรแกรมนี้ โปรดดูที่เว็บไซต์DDPRPเช่นเดียวกับโปรแกรม Bug Bounty แอปใดๆ ใน Play Store ที่มีการติดตั้งมากกว่า 100 ล้านครั้งก็มีสิทธิ์

รางวัลสำหรับการค้นหาจุดบกพร่องเฉพาะคืออะไร?

มีการมอบรางวัลเงินสดให้กับทั้งโปรแกรมตรวจจับข้อผิดพลาดและข้อมูลในทางที่ผิด จำนวนเงินที่จ่ายสำหรับรายงานใดๆ ขึ้นอยู่กับความรุนแรงของปัญหา นอกจากนี้ยังขึ้นอยู่กับคุณภาพของรายงานที่ส่งไปยัง Google ด้วย

รางวัลสำหรับโปรแกรมรางวัลความปลอดภัยของ Google Play มีตั้งแต่ 5,000 ถึง 20,000 ดอลลาร์สำหรับข้อบกพร่องในการเรียกใช้โค้ดจากระยะไกล ตั้งแต่ 1,000 ถึง 3,000 ดอลลาร์สำหรับการขโมยข้อมูลส่วนตัวที่ไม่ปลอดภัย และตั้งแต่ 1,000 ถึง 3,000 ดอลลาร์สำหรับการเข้าถึงส่วนประกอบ ส่วนของแอปพลิเคชันได้รับการคุ้มครอง นอกจากนี้ยังมีรางวัลสำหรับการตรวจจับช่องโหว่สำหรับนักพัฒนาแอปพลิเคชันที่มีความรับผิดชอบ สิ่งนี้ทำให้นักพัฒนามีโอกาสแก้ไขปัญหาได้

รางวัลโปรแกรมการคุ้มครองข้อมูลของนักพัฒนาซอฟต์แวร์มีตั้งแต่ $100 ถึง $1,000 หากต้องการรับรางวัล คุณต้องส่งรายงาน คุณควรจดบันทึกข้อมูลอย่างชัดเจนว่ามีการละเมิดนโยบายข้อมูลใดบ้าง ข้อมูลถูกละเมิดอย่างไร และรายการจำนวนครั้งที่แอปละเมิดนโยบาย

โปรแกรมการใช้ข้อมูลในทางที่ผิดและการตรวจจับข้อผิดพลาดของ Google เปิดโอกาสให้คุณสร้างรายได้ นอกจากนี้ยังช่วยให้คุณช่วยปรับปรุงความปลอดภัยของแอพที่เผยแพร่ผ่าน Play Store หากคุณสนใจโอกาสในการล่าแมลงเพิ่มเติม คุณสามารถดูโปรแกรมของบริษัทอื่นๆ ได้เช่นกัน

ขอให้โชคดี!