Google chce, aby użytkownicy Androida czuli, że jego platforma jest bezpieczna, wiedząc, że zaufanie ludzi może zostać podważone, gdy media są pełne nagłówków najnowszych zagrożeń bezpieczeństwa.
Mając to na uwadze, Google ogłosił w tym tygodniu , że rozszerza swój program premiowy za błędy. Program nagradza badaczy bezpieczeństwa, którzy odpowiedzialnie ujawniają luki w zabezpieczeniach, aby mogły zostać one załatane tak szybko, jak to możliwe. Google, który co prawda ma dość głębokie kieszenie, jeśli chodzi o finansowanie takich rzeczy, powiedział, że zmienia swój program Google Play Security Reward Program (GPSRP), aby nie tylko obejmował własne produkty, ale dodatkowo zawiera wszystkie aplikacje w oficjalnym sklepie Google Play, które miały co najmniej 100 milionów instalacji. Innymi słowy, jeśli znajdziesz poważną lukę w zabezpieczeniach w popularnej aplikacji na Androida, możesz skontaktować się z Google, a nie z deweloperem aplikacji, a Google z przyjemnością nie tylko powiadomi programistę o wadach, ale także zapłaci Ci za Twoją pracę.
Chociaż Google zachęca twórców aplikacji do uruchomienia własnego programu premiowania za błędy, w ramach którego badacze mogą być nagradzani za odpowiedzialne ujawnianie luk w zabezpieczeniach, mówi, że wszystkie popularne aplikacje na Androida z conajmniej 100 milionami instalacji są teraz automatycznie kwalifikowalne w ramach GPSRP. „To otwiera drzwi dla badaczy bezpieczeństwa, którzy pomagają setkom organizacji zidentyfikować i naprawić luki w swoich aplikacjach” – napisali Adam Bacchus, Sebastian Porst i Patrick Mutchler z grupy Google ds. Bezpieczeństwa i Prywatności w Google. „Jeśli programiści mają już własne programy, badacze mogą zbierać nagrody bezpośrednio od nich ale takżę od Google”. Google twierdzi, że pomógł już ponad 300 000 twórcom aplikacji naprawić błędy w około milionie aplikacji na Androida w Google Play, wypłacając w przeszłości 265 000 USD. Wzrost oferowanych nagród spowodował, że Google wypłaciło 75 500 USD w ciągu ostatnich kilku miesięcy.
Nie przymykajmy tutaj oczu na rzeczywistość. Google w przeszłości nie wykonał świetnej roboty, ścigając aplikacje w swoim oficjalnym sklepie Google Play. W niezliczonych przypadkach znaleziono złośliwe aplikacje, które zagrażają użytkownikom Androida i ich danych. Jeszcze bardziej powszechne jest, że słabo zakodowane aplikacje mobilne zawierają luki w zabezpieczeniach – nawet jeśli nie zostały utworzone ze złośliwą intencją. W związku z tym trudno narzekać na to, że Google rozszerza swój program premiowy za błędy, aby zachęcić więcej badaczy zajmujących się bezpieczeństwem do szukania luk bezpieczeństwa w najczęściej używanych aplikacjach.
Ponadto Google ogłosił nową inicjatywę: program premiowania ochrony danych programistów (DDPRP) . DDPRP to kolejny program premiowy, ale tym razem zbudowany specjalnie w celu zidentyfikowania i złagodzenia „problemów związanych z nadużyciami danych w aplikacjach na Androida, projektach OAuth i rozszerzeniach Chrome”. „W szczególności program ma na celu identyfikację sytuacji, w których dane użytkownika są nieoczekiwanie wykorzystywane, sprzedawane lub zmieniane w nielegalny sposób bez zgody użytkownika.
Według Google pojedynczy raport DDPRP może przynieść badaczowi nagrodę w wysokości nawet 50 000 USD.
Wojciech Boczoń