Компания «Яндекс» выделила направление по поиску уязвимостей в мобильных приложениях в отдельную программу «Охота за ошибками». Максимальная награда за найденные баги теперь составляет 1 млн рублей.
Размер вознаграждения зависит от критичности уязвимости, популярности приложения и способа ее эксплуатации. Так, за обнаружение уязвимости, позволяющей выполнить произвольный код в контексте приложения, можно получить от 150 тыс. до 500 тыс. рублей. За удаленную эксплуатацию такой уязвимости — от 300 тыс. до 1 млн рублей.
«Учтите, что на размер награды будет влиять количество скачиваний приложения, его распространенность и количество обрабатываемых им данных».
Условия программы «Охота за ошибками» «Яндекс»
В рамках программы «Охота за ошибками» «Яндекс» предлагает проверить безопасность следующих приложений: «Яндекс Go», «Яндекс Еда», «Яндекс Маркет», «Яндекс Браузер», «Яндекс Диск», «Яндекс Карты», «Яндекс Почта», «Яндекс Музыка», «КиноПоиск» и другие.
Компания особо заинтересована в поиске уязвимостей, связанных с диплинками (глубокими ссылками), WebView (компонентами для отображения веб-страниц внутри приложений) и механизмом синхронизации аккаунтов пользователей.
«Яндекс» также определил типы данных, которые считаются критичными с точки зрения безопасности: геоданные, финансовые данные и сервисные данные.
При этом компания заявляет, что не будет выплачивать вознаграждения за ряд уязвимостей, включая те, которые требуют root-привилегий, jailbreak или физического доступа к устройству. Также не вознаграждаются уязвимости в third-party-зависимостях, которые были исправлены более двух месяцев назад.