Android 애플리케이션의 보안 문제를 찾아 돈을 버는 방법

보안 문제를 찾아내는 능력을 갖춘 안드로이드 앱 개발자 라면 , 구글에 자신의 재능을 뽐내서 돈을 벌 수 있습니다. 해커들이 Google Play 스토어에 맬웨어에 감염된 앱을 가져왔고, 그 중 일부는 수백만 건의 다운로드를 기록했습니다.

이에 대응하여 Google은 개발자가 많은 인기 애플리케이션에서 보안 문제를 찾을 수 있도록 버그 바운티 프로그램(사용자가 발견한 취약점에 대한 보상 프로그램)을 열었습니다. 이전에는 몇 가지 앱만 포함되었습니다. 이제 인기 있는 모든 Play 스토어 앱이 프로그램에 포함됩니다. 이 프로그램은 보안 문제를 발견하고 보고한 개발자에게 현금 보상을 지급합니다.

Android 애플리케이션에서 보안 문제 찾기 - Google을 통해 수익을 창출할 수 있는 기회

• Google이 Bug Bounty 프로그램을 만든 이유는 무엇인가요?
• 버그 바운티 프로그램에 어떻게 참여하나요?
• 앱 자체의 데이터 남용을 감지하여 보상을 받으세요.
• 특정 버그를 발견하면 어떤 보상이 있나요?

Google이 Bug Bounty 프로그램을 만든 이유는 무엇인가요?

Google은 오랫동안 자체 앱에 대한 버그 바운티 프로그램을 운영해 왔습니다. 많은 회사와 마찬가지로 Google은 웹사이트에서 문제를 발견한 개발자에게 보상을 제공합니다. 회사는 또한 Chrome 브라우저 또는 Chrome 운영 체제에서 버그를 발견하면 보상을 제공합니다. 그러나 최근 Google은 한 단계 더 발전하여 다른 많은 회사의 앱에서도 발견된 버그에 대해 보상을 제공했습니다.

Play 스토어 버그 바운티 프로그램의 첫 번째 단계는 매우 소수의 인기 앱에만 적용됩니다. 이제 Google은 Play 스토어에서 설치 수가 1억 개가 넘는 모든 앱을 포함하도록 프로그램을 확장했습니다. 이는 앱 개발자가 버그 프로그램을 제공하지 않더라도 버그 사냥꾼이 Play 스토어 앱에서 문제를 발견하고 이를 신고하여 보상을 받을 수 있는 더 많은 기회가 있다는 것을 의미합니다.

구글은 커뮤니티가 모든 사람의 보안을 개선하기 위해 협력하도록 장려하기 위해 위 프로그램을 도입했다고 밝혔습니다. 따라서 Google은 버그 사냥꾼이 문제를 발견하고 이를 애플리케이션 개발자와 Google에 보고할 것을 권장합니다. 이를 통해 기본 앱 개발자는 버그를 신속하게 수정할 수 있습니다. 이는 Android 앱을 사용하는 모든 사람에게 더 나은 보안을 의미합니다.

버그 바운티 프로그램에 어떻게 참여하나요?

Play 스토어의 버그 바운티 프로그램은 Google Play 보안 보상 프로그램(GPSRP) 이라고 합니다 . Google은 보안 연구원과 애플리케이션 개발자의 참여를 초대합니다. 첫 번째 단계는 프로그램에 참여하기 위한 신청서를 작성하는 것입니다 . 승인되면 Play 스토어에서 모든 적격 앱의 보안 문제를 검색할 수 있습니다.

참가자가 찾는 취약점에는 세 가지 유형이 있습니다. 첫째, 원격 코드 실행 취약점은 해커가 사용자의 장치에 접근하여 변경할 수 있는 취약점입니다. 이는 매우 심각한 보안 문제입니다.

둘째, 안전하지 않은 개인정보의 도난 문제이다. 이는 해커가 로그인 자격 증명, 웹 기록 또는 연락처 목록과 같은 개인 정보를 훔칠 수 있는 취약점입니다.

세 번째는 보호된 애플리케이션 구성 요소에 대한 액세스입니다. 이는 권한이 없는 기능을 수행하는 애플리케이션을 의미합니다. 예를 들어 애플리케이션은 사용자의 권한이 없는 경우에도 SMS 메시지를 보냅니다.

이 프로그램은 일부 보안 문제를 다루지 않습니다. 예를 들어, 피싱 공격은 잠재적으로 매우 위험할지라도 프로그램에 적합하지 않습니다. 그 이유는 악성코드를 실행하여 운영하는 것이 아니라 사용자를 속이는 방식으로 운영하기 때문이다. 또한 이 프로그램은 장치에 대한 물리적 접근이 필요한 공격을 다루지 않습니다.

오류를 발견하면 앱 개발자에게 연락하여 알려야 합니다. 그런 다음 해당 개발자와 협력하여 문제를 해결할 수 있습니다. 취약점이 해결되면 Google에 현금 보상을 요청할 수 있습니다.

앱 자체의 데이터 남용을 감지하여 보상을 받으세요.

Google은 보안 버그를 발견한 것에 대한 보상만 제공하지 않습니다. 회사는 또한 사용자 데이터를 훔치는 애플리케이션을 "억제"하려고 노력하고 있습니다. 최근 회사는 앱의 데이터 오용을 발견한 개발자에게 유사한 보상을 제공하는 개발자 데이터 보호 보상 프로그램(DDPRP)을 시작했습니다.

프로그램에서 찾고 있는 데이터 남용 유형은 Google의 개인정보취급방침에 위배되는 방식으로 사용자 데이터를 수집하고 판매하는 앱입니다. 예를 들어 민감한 데이터로 보호되지 않고 사용자의 연락처에서 전화한 사람과 시간에 대한 메타데이터와 같은 데이터를 수집하는 애플리케이션이 될 수 있습니다.

이 프로그램에는 SMS에 액세스할 수 있지만 이를 사용하여 SMS 사용자에 대한 데이터를 수집하고 이를 제3자에게 판매하는 등 권한 규칙을 위반하는 앱도 포함됩니다. 또한 연락처 데이터에 액세스할 수 있는 권한을 요청한 다음 관련 없는 앱에 해당 데이터를 재사용하는 앱도 포함되어 있습니다.

프로그램에 해당하는 데이터 남용 유형에 대한 자세한 내용을 보려면 DDPRP 웹사이트를 참조하세요 . Bug Bounty 프로그램과 마찬가지로 Play 스토어에서 설치 횟수가 1억 건 이상인 모든 앱이 대상입니다.

특정 버그를 발견하면 어떤 보상이 있나요?

버그 및 데이터 남용 탐지 프로그램에는 현금 보상이 제공됩니다. 신고 비용은 문제의 심각도에 따라 달라집니다. 또한 Google에 전송된 보고서의 품질에 따라 달라집니다.

Google Play 보안 보상 프로그램에 대한 보상 범위는 원격 코드 실행 버그의 경우 $5,000~$20,000, 안전하지 않은 개인 데이터 도난의 경우 $1,000~$3,000, 구성 요소 액세스의 경우 $1,000~$3,000입니다. 애플리케이션 부분은 보호됩니다. 또한 책임 있는 애플리케이션 개발자의 취약점을 탐지하면 보상이 제공됩니다. 이는 개발자에게 문제를 해결할 수 있는 기회를 제공합니다.

개발자 데이터 보호 보상 프로그램 보상 범위는 $100~$1000입니다. 보상을 받으려면 보고서를 제출해야 합니다. 어떤 데이터 정책을 위반했는지, 데이터가 어떻게 남용되었는지, 앱이 정책을 위반한 횟수 목록을 명확하게 기록해야 합니다.

Google의 데이터 남용 및 오류 감지 프로그램은 귀하에게 돈을 벌 수 있는 기회를 제공합니다. 또한 Play 스토어를 통해 배포되는 앱의 보안을 향상시키는 데 도움이 됩니다. 더 많은 버그 사냥 기회에 관심이 있다면 다른 회사의 프로그램도 확인해 보세요.

행운을 빌어요!