Google Play | Security Reward Program

El programa Security Reward de la plataforma Google Play se ha integrado con HackerOne. Como resultado, todas las presentaciones de Google Play Security Reward Program (GPSRP) deben realizarse para su revisión a través del portal HackerOne.

El objetivo del programa es identificar y mitigar las vulnerabilidades en sus aplicaciones, y mantener seguros a los usuarios de Android, a los desarrolladores y al ecosistema de Google Play.

Los desarrolladores de aplicaciones Android pueden unirse al programa para ayudar a incentivar la investigación de seguridad a través del modelo de recompensas de errores.


¿Cómo funciona?

A alto nivel:

  • Los desarrolladores de aplicaciones Android se unen al programa de Google a través de HackerOne que revisará y determinará la aptitud para formar parte de este programa.
  • El hacker identifica la vulnerabilidad en una aplicación del programa e informa directamente al desarrollador a través del proceso de divulgación de vulnerabilidades actual.
  • El desarrollador de aplicaciones trabaja con el hacker para resolver la vulnerabilidad.
  • Una vez que se ha resuelto la vulnerabilidad, el hacker puede solicitar un pago del GPSRP. Además, el desarrollador de la aplicación puede ofrecer una recompensa de forma independiente.


Normativa del Programa

  • Todas las vulnerabilidades se deben informar directamente al desarrollador de la aplicación en primer lugar y solo calificarán para recompensa los errores de seguridad que se hayan solucionado en los últimos 90 días.
  • Todos los informes están sujetos a las directrices de divulgación de HackerOne.
  • Los reportes deben contener toda la información solicitada en el formulario de envío de informes.
  • Todas y cada una de las decisiones de recompensa del GPSRP quedan a criterio de Google y HackerOne. Los desarrolladores de aplicaciones no tienen control sobre el GPSRP administrado por HackerOne.
  • Algunos servicios de la marca Alphabet alojados en dominios (menos comunes) operados por proveedores o partners están fuera de alcance del programa.


Recompensas por vulnerabilidades de seguridad

Las siguientes vulnerabilidades califican para el Programa de Recompensas de Seguridad de Google Play:

1) RCE (Ejecución de código remoto) - $20,000

La vulnerabilidad RCE debería permitir que un atacante ejecute código nativo del procesador ARM (Advanced RISC Machine) del dispositivo de un usuario sin el conocimiento o permiso del usuario.

Ejecutar código javascript arbitrario no forma parte de la categoría RCE.

2) Robo de datos privados inseguros - $3,000

Vulnerabilidades que conducen a un acceso no autorizado a información de identificación personal de manera que un atacante pueda robarlas de dispositivos Android con configuraciones de seguridad predeterminadas (por ejemplo, no rooteadas).

Se considera información de identificación personal: credenciales de inicio de sesión, tokens de autenticación, nombres, información de la lista de contactos, fotos y otros archivos de la tarjeta SD, contenido del correo electrónico de un usuario, registro de llamadas, registro de SMS, historial web, marcadores de navegadores e información de directorios privados o datos de otras aplicaciones. La ubicación o las coordenadas GPS por sí solas no son consideradas información de identificación personal.

Vulnerabilidades que dan como resultado la capacidad de suplantar la identidad de un usuario sin interacción del mismo, por ejemplo, hacer que un WebView (visor de páginas web nativo de Android) u otra interfaz sea visible ejecutándose en el mismo proceso que la aplicación afectada, es decir dentro de la misma interfaz que la aplicación de la víctima.

3) Acceso a componentes de aplicaciones protegidas: $3,000

La operación en cuestión debe ser relevante para la seguridad (por ejemplo, cambiar la configuración de uso compartido para proporcionar a un atacante acceso no autorizado a datos confidenciales, publicar o editar algo en nombre del usuario sin su consentimiento y que exponga datos confidenciales, cambiar o proporcionar acceso no autorizado a credenciales, etc.)

Algunos ejemplos son: permitir que una aplicación envíe un mensaje SMS si no tiene el permiso SEND_SMS, bypass de login (por ejemplo, formulario de inicio de sesión) llamando directamente al componente Activity, robar tokens de autenticación o ejecutar scripts en un origen web que no está bajo control del atacante.

4) Ejecución de código local - $4,000

Una aplicación procesa datos maliciosos de otra aplicación en el mismo dispositivo dando como resultado la ejecución de código en el dispositivo (ejm, ARM, Java)

Por ejemplo, una aplicación que carga código Java arbitrario desde un archivo especificado en local storage, permitiendo a un atacante explotar una vulnerabilidad de sobrescritura de ficheros para descargar el código Java en filesystem donde la aplicación víctima lo cargará y ejecutará.

La siguiente tabla muestra las recompensas habituales elegidas para los errores más comunes:

Categoría

Recompensa

Robo de datos sensibles a través de la entrada de datos maliciosos vía URL y enlaces simbólicos (efectivo desde el 9 de noviembre de 2019, los informes recibidos antes del 9 de noviembre seguirán siendo válidos por la cuantía de la recompensa original).

$500

Robo de datos sensibles mediante la entrada de datos maliciosos y javascript vía URL (en vigencia desde el 9 de noviembre de 2019; los informes recibidos antes del 9 de noviembre seguirán calificando por el montante de la recompensa original).

$500

Robo de datos sensibles a través de la entrada de datos maliciosos y ficheros vía URL (efectivo desde el 9 de noviembre de 2019; los informes recibidos antes del 9 de noviembre seguirán siendo válidos por la cuantía de la recompensa original).

 $500

Entrada de datos maliciosos vía URL dando como resultado la fuga de información de la sesión activa (vigente desde el 15 de diciembre de 2019).

 $500


Alcance del programa

Solo calificarán las vulnerabilidades que funcionan en dispositivos Android 5.0 y superiores.

Para aplicaciones de Android desarrolladas por Google, informe de las vulnerabilidades a través del Programa de Recompensa de Vulnerabilidades de Google.

Para el resto de las aplicaciones, todas las vulnerabilidades se deben informar directamente al desarrollador de la aplicación a través de este canal.

Nivel 1

Los programas de Nivel 1 tienen tiempos promedio de primera respuesta de <1 día y tiempos de resolución de <= 1 mes.

Organización /
Developer

Package Name

Reportar a:

Grammarly

com.grammarly.android.keyboard

https://hackerone.com/grammarly

JNJ Mobile

com.jnj.mocospace.android

https://hackerone.com/jnj_mobile

Line

jp.naver.line.android

https://hackerone.com/line

Livestream

com.livestream.livestream

https://hackerone.com/livestream

Mail.Ru

ru.mail.cloud, ru.mail.auth.totp, ru.mail.mailapp, com.my.mail, ru.mail.calendar

https://hackerone.com/mailru

MobiSystems

com.mobisystems.msdict.embedded..., com.mobisystems.fileman, com.mobisystems.office

https://hackerone.com/mobisystems_ltd

Priceline

com.priceline.android.negotiator

https://hackerone.com/priceline

Showmax

com.showmax.app

https://tech.showmax.com/security/

Spotify

com.spotify.music, com.spotify.tv.android, com.spotify.s4a

https://hackerone.com/spotify

Sweatcoin

in.sweatco.app

https://hackerone.com/sweatco_ltd

Vimeo

com.vimeo.android.videoapp

https://hackerone.com/vimeo

Zomato

com.application.zomato, com.application.zomato.ordering

https://hackerone.com/zomato

Nivel 2

Los programas de Nivel 2 tienen tiempos promedio de primera respuesta de <= 1 día, y/o tiempos de triage de <= 5 días, y/o tiempos de resolución de <= 3 meses.

Organización /
Developer

Package Name

Reportar a:

Airbnb

com.airbnb.android

https://hackerone.com/airbnb

Dropbox

com.dropbox.android, com.dropbox.paper

https://hackerone.com/dropbox

Fitbit

com.fitbit.FitbitMobile

https://www.fitbit.com/bugbounty

Grab

com.grab.food.dax, com.grabtaxi.passenger, com.grabtaxi.driver2

https://hackerone.com/grab

Lyft

me.lyft.android, com.lyft.android.driver

https://www.lyft.com/security

PayPal Inc.

com.paypal.android.p2pmobile, com.paypal.here, com.paypal.merchant.client, com.xoom.android.app, com.venmo

https://hackerone.com/paypal

Pinterest

com.pinterest

https://bugcrowd.com/pinterest

Shopify

com.shopify.pos, com.shopify.mobile, com.shopify.pos.customerview

https://hackerone.com/shopify

Snapchat

com.snapchat.android

https://hackerone.com/snapchat

Tesla

com.teslamotors.tesla

https://bugcrowd.com/tesla

Nivel 3

Los programas de nivel 3 no muestran públicamente las métricas de tiempos de primera respuesta, clasificación o resolución.

Organización /
Developer

Package Name

Reportar a:

8bit Solutions LLC

com.x8bit.bitwarden

security@bitwarden.com

Alibaba

com.alibaba.aliexpresshd

https://security.alibaba.com/en/

Ayopop

com.ayopop

devops@ayopop.com

delight.im

im.delight.letters

https://hackerone.com/delight_im

Facebook

com.facebook.katana, com.facebook.orca, com.instagram.android

https://www.facebook.com/whitehat/report/

IRCCloud

com.irccloud.android

https://hackerone.com/irccloud

Kingsoft Office

cn.wps.moffice_eng

wps_security@kingsoft.com

Language Drops

com.languagedrops.drops.international, com.languagedrops.drops.scrips.learn.write.alphabet.letters...

security@languagedrops.com

Ok.Ru

ru.ok.android, ru.ok.messages, ru.ok.live

https://hackerone.com/ok

Opera

com.opera.browser, com.opera.mini.native, com.opera.touch, com.opera.app.news

https://security.opera.com/report-security-issue/

PicsArt

com.picsart.studio

security@picsart.com

Quvideo Inc

com.quvideo.xiaoying, com.quvideo.slideplus

googlesecurity@quvideo.com

Smule

com.smule.singandroid.*

android-security@smule.com

Telegram Messenger LLP

org.telegram.messenger

security@telegram.org

Tinder

com.tinder

https://www.gotinder.com/security

VHX

tv.vhx.*

https://hackerone.com/vhx

VK.com (V Kontakte LLC)

com.vkontakte.android, com.vk.admin, com.vk.quiz

https://hackerone.com/vkcom

VLC

org.videolan.vlc

https://www.videolan.org/security/

Yandex LLC

ru.yandex.disk, ru.yandex.taxi, ru.yandex.metro, ru.yandex.music, ru.yandex.mail, ru.yandex.weatherplugin, ru.yandex.searchplugin, ru.yandex.yandexmaps, ru.yandex.market, com.yandex.browser, ru.yandex.yandexnavi

https://yandex.com/bugbounty/report/

Dentro del alcance del programa

Android: .apk com.alibaba.aliexpresshd

Alibaba - https://security.alibaba.com/en/

 Crítico Elegible
Android: .apk com.tinder

Tinder - https://www.gotinder.com/security

 Crítico Elegible
OtroApp on Play with >= 100 million installs, not listed in scope

Organizations typically publish a vulnerability disclosure policy with guidance on how they receive information related to potential vulnerabilities in their products or online services (see ISO 29147).
If you have been unsuccessful in contacting an organization regarding the responsible disclosure of a potential security vulnerability in an app on Play with >= 100 million installs, HackerOne and Google can offer disclosure assistance. If this issue is within scope for this program, HackerOne and Google will attempt to contact this organization and deliver this vulnerability information to them.
By submitting a report to this scope, you agree to the following terms: I understand that my usage of this disclosure assistance service is strictly voluntary. HackerOne and Google did not ask me to use the service or identify the organization in which I found a vulnerability. HackerOne and Google have not made any guarantees or promises to me with respect to the service. If I choose to submit vulnerability information, I will not disclose the vulnerability information to any other party until I have come to a separate agreement with the organization to which the vulnerability information relates, or until HackerOne or Google informs me that it is unable or unwilling to continue assisting with the disclosure, whichever comes first. I assume all liability for usage of the service, and I have been advised to follow the EFF Vulnerability Reporting FAQ. I agree that HackerOne and Google may use any information I submit through this service and may share that information with third parties.

CríticoElegible
Android:
Play Store		jp.naver.line.android

Line - https://bugbounty.linecorp.com/

CríticoElegible
Android:
Play Store		com.snapchat.android

Snapchat - https://hackerone.com/snapchat

CríticoElegible
Android:
Play Store		com.dropbox.android

Dropbox - https://hackerone.com/dropbox

CríticoElegible
Android:
Play Store		com.dropbox.paper

Dropbox - https://hackerone.com/dropbox

CríticoElegible
Android:
Play Store		ru.mail.cloud

Mail.Ru - https://hackerone.com/mailru

CríticoElegible
Android:
Play Store		ru.mail.auth.totp

Mail.Ru - https://hackerone.com/mailru

CríticoElegible
Android:
Play Store		ru.mail.mailapp

Mail.Ru - https://hackerone.com/mailru

CríticoElegible
Android:
Play Store		com.my.mail

Mail.Ru - https://hackerone.com/mailru

CríticoElegible
Android:
Play Store		ru.mail.calendar

Mail.Ru - https://hackerone.com/mailru

CríticoElegible
Android:
Play Store		org.videolan.vlc

VLC - https://www.videolan.org/security/

CríticoElegible
Android:
Play Store		com.smule.singandroid.*

Smule - android-security@smule.com

CríticoElegible
Android:
Play Store		com.quvideo.xiaoying

Quvideo Inc - googlesecurity@quvideo.com

CríticoElegible
Android:
Play Store		com.quvideo.slideplus

Quvideo Inc - googlesecurity@quvideo.com

CríticoElegible
Android:
Play Store		com.fitbit.FitbitMobile

Fitbit - https://www.fitbit.com/bugbounty

CríticoElegible
Android:
Play Store		cn.wps.moffice_eng

Kingsoft Office - wps_security@kingsoft.com

CríticoElegible
Android:
Play Store		com.duolingo.tinycards

(Temporarily out of scope) Duolingo - https://hackerone.com/duolingo

CríticoElegible
Android:
Play Store		ru.yandex.disk

Yandex LLC - https://yandex.com/bugbounty/report/

CríticoElegible
Android:
Play Store		ru.yandex.taxi

Yandex LLC - https://yandex.com/bugbounty/report/

CríticoElegible
Android:
Play Store		ru.yandex.metro

Yandex LLC - https://yandex.com/bugbounty/report/

CríticoElegible
Android:
Play Store		ru.yandex.music

Yandex LLC - https://yandex.com/bugbounty/report/

CríticoElegible
Android:
Play Store		ru.yandex.mail

Yandex LLC - https://yandex.com/bugbounty/report/

CríticoElegible
Android:
Play Store		ru.yandex.weatherplugin

Yandex LLC - https://yandex.com/bugbounty/report/

CríticoElegible
Android:
Play Store		ru.yandex.searchplugin

Yandex LLC - https://yandex.com/bugbounty/report/

CríticoElegible
Android:
Play Store		ru.yandex.yandexmaps

Yandex LLC - https://yandex.com/bugbounty/report/

CríticoElegible
Android:
Play Store		ru.yandex.market

Yandex LLC - https://yandex.com/bugbounty/report/

CríticoElegible
Android:
Play Store		com.yandex.browser

Yandex LLC - https://yandex.com/bugbounty/report/

CríticoElegible
Android:
Play Store		ru.yandex.yandexnavi

Yandex LLC - https://yandex.com/bugbounty/report/

CríticoElegible
Android:
Play Store		org.telegram.messenger

Telegram Messenger LLP - security@telegram.org

CríticoElegible
Android:
Play Store		com.showmax.app

Showmax - security+android@showmax.com

CríticoElegible
Android:
Play Store		com.teslamotors.tesla

Tesla - https://bugcrowd.com/tesla

CríticoElegible
Android:
Play Store		com.x8bit.bitwarden

8bit Solutions LLC - security@bitwarden.com

CríticoElegible
Android:
Play Store		com.irccloud.android

IRCCloud - https://hackerone.com/irccloud

CríticoElegible
Android:
Play Store		com.shopify.pos

Shopify - https://hackerone.com/shopify

CríticoElegible
Android:
Play Store		com.shopify.mobile

Shopify - https://hackerone.com/shopify

CríticoElegible
Android:
Play Store		im.delight.letters

delight.im - https://hackerone.com/delight_im

CríticoElegible
Android:
Play Store		com.paypal.android.p2pmobile

Paypal - https://hackerone.com/paypal

CríticoElegible
Android:
Play Store		com.paypal.here

Paypal - https://hackerone.com/paypal

CríticoElegible
Android:
Play Store		com.paypal.merchant.client

Paypal - https://hackerone.com/paypal

CríticoElegible
Android:
Play Store		com.xoom.android.app

Paypal - https://www.paypal.com/bugbounty/

CríticoElegible
Android:
Play Store		com.venmo

Paypal - https://www.paypal.com/bugbounty/

CríticoElegible
Android:
Play Store		com.vkontakte.android

VK.com (V Kontakte LLC) - https://hackerone.com/vkcom

CríticoElegible
Android:
Play Store		com.application.zomato

Zomato - https://hackerone.com/zomato

CríticoElegible
Android:
Play Store		com.airbnb.androidCríticoElegible
Android:
Play Store		com.opera.browser

Opera: https://security.opera.com/report-security-issue/

CríticoElegible
Android:
Play Store		com.opera.mini.native

Opera: https://security.opera.com/report-security-issue/

CríticoElegible
Android:
Play Store		com.opera.touch

Opera: https://security.opera.com/report-security-issue/

CríticoElegible
Android:
Play Store		com.spotify.musicCríticoElegible
Android:
Play Store		com.spotify.tv.androidCríticoElegible
Android:
Play Store		com.spotify.s4aCríticoElegible
Android:
Play Store		com.ayopop

Ayopop - devops@ayopop.com

CríticoElegible
Android:
Play Store		com.vk.admin

VK.com (V Kontakte LLC) - https://hackerone.com/vkcom

CríticoElegible
Android:
Play Store		com.vk.quiz

VK.com (V Kontakte LLC) - https://hackerone.com/vkcom

CríticoElegible
Android:
Play Store		ru.ok.android

Ok.Ru - https://hackerone.com/ok

CríticoElegible
Android:
Play Store		ru.ok.messages

Ok.Ru - https://hackerone.com/ok

CríticoElegible
Android:
Play Store		ru.ok.live

Ok.Ru - https://hackerone.com/ok

CríticoElegible
Android:
Play Store		com.grab.food.dax

https://hackerone.com/grab

CríticoElegible
Android:
Play Store		com.grabtaxi.passenger

https://hackerone.com/grab

CríticoElegible
Android:
Play Store		com.grabtaxi.driver2

https://hackerone.com/grab

CríticoElegible
Android:
Play Store		com.shopify.pos.customerview

Shopify - https://hackerone.com/shopify

CríticoElegible
Android:
Play Store		com.application.zomato.ordering

Zomato - https://hackerone.com/zomato

CríticoElegible
Android:
Play Store		in.sweatco.app

Sweatcoin - https://hackerone.com/sweatco_ltd

CríticoElegible
Android:
Play Store		com.languagedrops.drops.international

Language Drops - security@languagedrops.com

CríticoElegible
Android:
Play Store		com.languagedrops.drops.scrips.learn.write.alphabet.letters.characters.language.japanese.korean.chinese

Language Drops - security@languagedrops.com

CríticoElegible
Android:
Play Store		com.vimeo.android.videoapp

Vimeo - hackerone.com/vimeo

CríticoElegible
Android:
Play Store		tv.vhx.*

Excludes tv.vhx (test on branded apps)
VHX - hackerone.com/vhx

CríticoElegible
Android:
Play Store		com.livestream.livestream

Livestream - hackerone.com/livestream

CríticoElegible
Android:
Play Store		com.opera.app.news

Opera - https://security.opera.com/report-security-issue/

CríticoElegible
Android:
Play Store		com.grammarly.android.keyboard

Grammarly - https://hackerone.com/grammarly

CríticoElegible
Android:
Play Store		com.picsart.studio

PicsArt - security@picsart.com

CríticoElegible
Android:
Play Store		com.facebook.katana

Facebook - https://www.facebook.com/whitehat/report/

CríticoElegible
Android:
Play Store		com.facebook.orca

Facebook Messenger - https://www.facebook.com/whitehat/report/

CríticoElegible
Android:
Play Store		com.instagram.android

Instagram - https://www.facebook.com/whitehat/report/

CríticoElegible
Android:
Play Store		me.lyft.android

Lyft - https://www.lyft.com/security

CríticoElegible
Android:
Play Store		com.lyft.android.driver

Lyft - https://www.lyft.com/security

CríticoElegible
Android:
Play Store		com.priceline.android.negotiator

Priceline - https://hackerone.com/priceline

CríticoElegible
Android:
Play Store		com.pinterest

Pinterest - https://bugcrowd.com/pinterest

CríticoElegible
Android:
Play Store		com.jnj.mocospace.android

JNJ Mobile - https://hackerone.com/jnj_mobile

CríticoElegible
Android:
Play Store		com.mobisystems.msdict.embedded.wireless.oxford.dictionaryofenglish

MobiSystems - https://hackerone.com/mobisystems_ltd

CríticoElegible
Android:
Play Store		com.mobisystems.fileman

MobiSystems - https://hackerone.com/mobisystems_ltd

CríticoElegible
Android:
Play Store		com.mobisystems.office

MobiSystems - https://hackerone.com/mobisystems_ltd

CríticoElegible

Fuera del Alcance

Android:
Play Store		com.duolingo

(Temporarily out of scope) Duolingo - https://hackerone.com/duolingo

Android:
Play Store		com.facebook.mlite
Android:
Play Store		com.instagram.layout
Android:
Play Store		com.instagram.boomerang
Android:
Play Store		com.whatsapp
Android:
Play Store		com.whatsapp.w4b
Android:
Play Store		com.whatsapp.wallpaper

Última actualización - 17 Enero 2020