Компанія Google оголосила про нову програму збору помилок, за допомогою якої дослідники з питань безпеки можуть повідомляти про випадки зловживань, коли сторонні додатки крадуть або зловживають даними користувачів Google. За доповіді фахівців про “дірки” в захисті, зловживання та помилки призначено винагороду – до 50 тис. дол. США. Про це повідомляє ZDNet.
Новий проект має назву “Програма винагородження для захисту даних розробника” (DDPRP), і дослідники з безпеки можуть повідомляти про випадки можливого зловживання даними в сторонніх додатках, які мають доступ до API Google, в додатках для Android, які можна завантажити в Play Store, і в додатках та розширеннях для Chrome, які можна завантажити у відповідній веб-крамниці Chrome.
“Програма спрямована на те, щоб винагородити всіх, хто може надати достовірне та однозначне підтвердження зловживання даними”, – заявили в Google. – Зокрема, програма має за мету визначити ситуації, коли дані користувачів використовуються, продаються без попередження чи обробляються незаконним чином без згоди користувача”.
Повідомлення про зловживання даними користувачів Google можна подавати на сторінці DDPRP на HackerOne – платформі для “полювання на помилки та злами “, де Google запускає деякі зі своїх винагородних програм. Google буде розслідувати будь-які випадки зловживань та “заморожувати” додатки, щодо яких є доповіді. Дослідники з безпеки, які подають підтверджені звіти про зловживання даними, мають право на винагороду до 50 000 доларів США, зазначили представники Google.
Нова ініціатива Google схожа на програми винагород, оголошені Facebook та Instagram у попередні роки. У квітні 2018 року, після скандалу з Cambridge Analytica, Facebook оголосив, що заплатить дослідникам з безпеки за відстеження подібних додатків, які таємно збирали інформацію та зловживали даними користувачів Facebook. На початку серпня 2019 року Facebook розширив цю ж програму, щоб включити туди додатки Instagram після того, як рекламодавець в Instagram на ім’я Hyp3r таємно копіював профілі та зберігав інформацію про користувачів Instagram за межами більш захищених серверів Facebook.
Google не зазнала жодного подібного інциденту з даними користувачів, як це було з Facebook та Instagram, але пошуковий гігант знаходиться в подібному становищі. Як і у випадку Facebook, Google сидить на величезній горі особистих даних користувачів, і в той чи інший момент недобросовісний розробник додатків може захотіти “відкусити” частину цих даних собі. Побачивши, що після скандалів щодо конфіденційності Facebook зіткнувся з постійною загрозою упередженої преси та регуляторного тиску, Google відчайдушно намагається за будь-яку ціну уникнути тих же питань, і DDPRP – це хороший спосіб вирішити цю проблему.
Також компанія Google оголосила, що розширює свою програму для виправлення помилок Play Store, щоб включити туди будь-яку програму під Android, яку встановили понад 100 мільйонів користувачів. Це означає, що починаючи з сьогоднішнього дня, дослідники з безпеки можуть повідомляти Google про вразливості цих програм, а виробник ОС Android забезпечить грошові винагороди за підтверджені звіти про помилки, навіть якщо у розробників цих додатків немає власних програм виправлення помилок.
До речі, в офіційному магазині Google Play виявили шкідливий додаток зі шпигунським функціоналом. Програма-шпигун була замаскована під додаток Radio Balouch, який використовувався для прослуховування радіо в онлайн-режимі.
Нагадаємо, що була виявлена шкідлива кампанія, яка експлуатує уразливість в деяких плагінах для WordPress. За словами дослідників із Wordfence, жертв перенаправляють на підконтрольні зловмисникам web-сайти.
Також Google збільшила кількість часу, який необхідний новій програмі Android, щоб пройти процедуру затвердження Play Store.
Стало відомо, що Google впроваджує нову ініціативу Privacy Sandbox, у рамках якої розробляється новий набір відкритих стандартів. За їх допомогою Google прагне створити баланс між конфіденційністю користувачів і бажанням рекламних компаній відстежувати їх.
Окрім цього, Linux Foundation, Microsoft, Google, Alibaba, Arm, Baidu, IBM, Intel, Red Hat, Swisscom і Tencent підписали угоду про створення консорціуму щодо захисту конфіденційності даних.
Міжнародна антивірусна компанія ESET виявила нову фішингову кампанію, націлену на користувачів продукції Apple. Шахраї розсилали листи, де вимагали від одержувачів “верифікувати” персональні дані після недавнього відновлення доступу до Apple ID.
Зверніть увагу, в Microsoft виявили незвичайну фішингову кампанію, в якій використовуються кастомні сторінки з помилками 404. Таким чином зловмисники намагаються обманом змусити потенційних жертв видати свої облікові дані.