Toshin是莫斯科的一名23岁的安全研究员,主要专注于移动应用安全。Toshin告诉TechCrunch,凭借他对不同移动安全漏洞的了解,他构建了一个定制的Android移动应用漏洞扫描程序,可以快速、自动地发现应用程序代码中的漏洞。
扫描程序的工作原理是反编译安卓应用程序,逐行运行源代码--就像人类一样--并检测代码中可能引发漏洞的地方。Toshin说,它需要一套有效描述不同类型漏洞的规则,并搜索满足这些条件的易受攻击的代码。
一旦扫描程序完成,它就会发出一份报告,描述代码中的漏洞所在。
正是使用了他在过去两年中开发的这款扫描仪,他才能够加快发现错误的过程。
他说:“要参与漏洞奖励,我只需下载这款应用程序,然后复制漏洞报告中发现的漏洞即可。”
今年8月,他披露了一个Android漏洞的细节,该漏洞允许恶意应用程序从同一设备上的其他应用程序窃取敏感用户数据。两周后,他透露了TikTok安卓应用程序中一个漏洞的细节,该漏洞可能导致用户账户被劫持。
这只是他通过漏洞赏金计划向公司报告的数百个安全漏洞中的两个,研究人员通过这种方式警告公司潜在的问题,同时为他们的发现获得报酬。
Toshin告诉TechCrunch:“我突然想到创办一家初创公司,开始帮助其他公司发现他们移动应用程序中的漏洞。”
过度担保就是这样建立起来的。但Toshin是如何为他的初创公司融资的,这在某种程度上是非常规的。
过度担保的不同寻常之处不在于它是自筹资金的,而是它推出的产品实际上是自负盈亏的。Toshin使用他的扫描仪在一年内获得了100多万美元的漏洞赏金,这在很大程度上要归功于谷歌的安全奖励计划,该计划向安全研究人员支付的费用要高得多,因为他们在安卓应用程序中发现了超过1亿个安装的安全漏洞。
Oversected尚未盈利,但Toshin到目前为止也没有接受任何风险投资。该公司现在有大约五名开发人员,以及设计师和翻译,因为所有的努力都集中在建造和改进扫描仪上。
到目前为止,这家初创公司只支持扫描Android应用程序。Toshin说,该扫描仪对漏洞猎人和安全研究人员开放,他们可以付费扫描每个应用程序-免费赠送5次扫描。
但Toshin在允许企业客户购买扫描仪并将其与他们的开发工具集成上下了很大的赌注。OverSecure上周推出了其B2B服务,允许应用程序制造商将扫描仪直接集成到现有的应用程序开发流程中,以便在编码过程中发现错误。
Toshin说,企业客户很快就会获得对扫描iOS应用程序的SWIFT源代码的支持。
OverSecure加入了该领域其他一些老牌应用安全公司的行列。但Toshin相信他的技术能脱颖而出。