Mountain View récompense jusqu’à 50 000 dollars les chercheurs qui mettront au jour des collectes et utilisations abusives de données par des applications Android ou des extensions Chrome.
Comme Facebook récemment, Google vient de lancer un programme destiné à récompenser non pas la découverte de vulnérabilités, mais de violations de données (ou risques de violation). Lancé sur la plateforme HackerOne, le Google Play Developer Data Protection Reward Program, DDPRP pour les intimes, récompense ceux qui dénichent des abus dans les applications Android, les projets OAuth et les extensions Chrome.
Sont visées par exemples des apps qui collectent les données de contact sur Android sans demander la permission ou qui utilisent les API de Google pour traiter ou partager avec des tiers des données sans rapport avec la finalité du service, des extensions de Chrome qui affichent des informations de paiement ou d’authentification ou encore toute violation des conditions d’utilisation des différents services de Google.
5500 dollars depuis le lancement
Fait notable concernant la politique de divulgation de ce programme, sont concernés des tiers ; éditeurs d’apps, d’extensions, etc. Néanmoins, Google indique qu’il « travaillera directement avec les développeurs concernés ». En conséquence de quoi il est exigé que les chercheurs ne contactent pas les développeurs directement afin de leur exposer leurs découvertes. Google first donc, qui jouera les intermédiaires, mais aussi très certainement les juge, juré et bourreau.
Le programme lancé ce mois-ci a déjà récompensé quatre « découvreurs » à hauteur de 5500 dollars au total, pour une récompense maximale de 50 000 dollars. Seuls les apps (100 millions d’installations) et les extensions (50 000 utilisateurs) les plus populaires sont concernées. DDPRP s’inscrit dans le Google Play Security Reward Program qui a déjà versé 265 000 dollars de récompenses, dont 75 500 en juillet et août.