Google закрывает Google Play Security Reward Program

Google объявил о программе Google Play Security Reward Program еще в октябре 2017 года как о способе стимулировать исследователей безопасности находить и, что самое главное, ответственно раскрывать уязвимости в популярных приложениях для Android, распространяемых через Google Play Store.

Когда программа GPSRP только запускалась, она была ограничена избранным кругом разработчиков, которым разрешалось отправлять только приемлемые уязвимости, затрагивающие приложения от небольшого числа разработчиков-участников. В число уязвимостей входят те, которые приводят к удаленному выполнению кода или краже незащищенных персональных данных, причем выплаты первоначально достигали максимум $5000 для уязвимостей первого типа и $1000 — для второго.

Со временем сфера действия программы Google Play Security Reward Program расширилась и охватила разработчиков крупнейших приложений для Android, таких как Airbnb, Alibaba, Amazon, Dropbox, Facebook, Grammarly, Instacart, Line, Lyft, Opera, Paypal, Pinterest, Shopify, Snapchat, Spotify, Telegram, Tesla, TikTok, Tinder, VLC, Zomato и многих других.

В августе 2019 года Google открыла GPSRP для всех приложений в Google Play с количеством установок не менее 100 миллионов, даже если у них нет собственной программы вознаграждения за раскрытие уязвимостей. В июле 2019 года размер вознаграждения был увеличен до 20 000 долларов за ошибки удаленного выполнения кода и 3 000 долларов за ошибки, которые могут привести к краже незащищенных личных данных или доступу к защищенным компонентам приложения.

Цель программы Google Play Security Reward Program проста: Google хотела сделать Play Store более безопасным местом. По словам компании, данные об уязвимостях, собранные в рамках программы, использовались для создания автоматизированных проверок, которые сканировали все приложения, доступные в Google Play, на наличие аналогичных уязвимостей. В 2019 году Google заявила, что эти автоматические проверки помогли более чем 300,000 разработчиков исправить более 1,000,000 приложений в Google Play. Таким образом, эффект от GPSRP заключается в том, что меньше уязвимых приложений распространяется среди пользователей Android.

Однако теперь Google решил свернуть программу Google Play Security Reward Program. В электронном письме разработчикам-участникам, таким как Шон Пеше, компания сообщила, что GPSRP завершится 31 августа.

Причина, которую назвала Google, заключается в том, что в рамках программы уменьшилось количество сообщений об уязвимостях, которые можно устранить. Компания объясняет этот успех «общим повышением уровня безопасности ОС Android и усилиями по улучшению функций».

Закрытие Google этой программы — неоднозначная новость для пользователей. С одной стороны, это означает, что популярные приложения в значительной степени привели себя в порядок, но с другой стороны, это означает, что у некоторых исследователей безопасности не будет стимула ответственно раскрывать уязвимости в будущем, особенно если эти уязвимости затрагивают приложения, созданные разработчиком, который не проводит свою собственную программу вознаграждения за ошибки