Корпорация Google предложила специалистам по безопасности и хакерам путем взлома выявлять баги и уязвимости в мобильных приложениях для Android, представленных в официальном магазине Google Play Store. Об этом сообщает Reuters.

Специалисты компании Wordfence предупредили, что злоумышленники начали массово сканировать сайты в поисках директорий, где могут храниться приватные ключи SSH. Напомню, что аутентификация посредством SSH может осуществляться как с помощью юзернейма и пароля, так и с помощью RSA-ключей, публичного и приватного. Публичный ключ размещается на сервере, а приватный сохраняется на стороне пользователя, в локальном файле.

За каждую ошибку, не только найденную, но и успешно исправленную самим заявителем, компания обязуется платить вознаграждение от тысячи долларов США. Так компания отреагировала на обвинения в превращении собственного каталога в «свалку цифровой заразы».

В Google отметили, что их специалистам не удалось решить проблему с помощью стандартных методов: автоматики и использования кадровых ресурсов компании. Поэтому они решились на введение системы поощрений Play Security Reward Program. В перспективе проект должен сделать Google Play Store стерильным и безопасным для пользователей местом. Денежное вознаграждение станет стимулом к сотрудничеству для хакеров, регулярно обнаруживающих многочисленные вирусы, ошибки и фейковые приложения среди продуктов каталога.

В проекте оздоровления каталога будут участвовать как собственные разработки Google, так и приложения других компаний. Пока к Play Security Reward Program присоединились восемь разработчиков 13 популярных приложений, среди которых Tinder, Mail.ru, Snapchat, Dropbox, Alibaba, Duolingo и Line. Список кандидатов на инспекцию будет расширяться по мере исправления багов в самых скачиваемых продуктах.

Подобные бонусные программы давно популярны у менее крупных разработчиков. Компании научились привлекать хакеров к исправлению уязвимостей, вместо того чтобы ждать, когда они используют баги в преступных целях.

В средине текущей недели аналитики Wordfence зафиксировали неожиданную и массовую волну сканирований сайтов.Судя по именам директорий, которые интересуют злоумышленников, те охотятся за приватными ключами SSH. Так, атакующих интересуют директории, в названиях которых содержатся упоминания root, ssh, а также id_rsa.

«Мы предполагаем, что резкий рост активности сканеров может быть связан с тем, что атакующие уже достигли некоторого успеха в поисках приватных ключей и решили приложить больше усилий. Это может указывать на существование какого-то распространенного бага или на то, что владельцы сайтов на WordPress совершают некую эксплуатационную ошибку, из-за чего приватные ключи становятся доступным публично», — пишет глава Wordfence Марк Маундер (Mark Maunder).

В блоге аналитики Wordfence советуют администраторам сайтов проявлять бдительность и рассказывают, как обезопасить свои SSH ключи и в целом правильно настроить SSH.

Компания Google добавила в свой онлайн-магазин приложений Google Play специальный раздел и новую кнопку «Попробовать сейчас» (Try Now) для приложений с поддержкой мгновенного запуска (Android Instant Apps). Нажав на эту кнопку пользователь может запустить приложение без необходимости скачивать и устанавливать его.

Приложения с мгновенным запуском можно найти в специальном разделе Google Play, пока там имеется всего несколько приложений. На данный момент функция Try Now работает только в некоторых странах и еще недоступна в России. Список устройств с их поддержкой пока также ограничен.

Такие приложения были анонсированы еще в прошлом году и были открыты для разработчиков в мае. Функция мгновенного запуска загружает только те части приложения и данные, которые нужны для выполнения текущего действия. Они временно сохраняются на устройстве.