Google завершает программу вознаграждений за поиск багов в приложениях для Android

Компания Google объявила о закрытии программы вознаграждений за обнаружение уязвимостей в Android-приложениях, известной как Google Play Security Reward Program (GPSRP). Программа, запущенная в октябре 2017 года, позволяла сторонним разработчикам получать денежные вознаграждения за выявление багов в популярных приложениях, размещённых в магазине Google Play.

Источник изображения: Photo Mix/Pixabay

Программа GPSRP была запущена с целью сделать магазин Google Play более безопасным местом для пользователей Android. GPSRP была рассчитана на ограниченный круг специалистов по кибербезопасности и предусматривала вознаграждения за уязвимости, приводящие к удалённому выполнению кода или краже конфиденциальных данных, поясняет издание Android Authority. Максимальные выплаты составляли $5000 (удалённое выполнение кода) и $1000 (кража данных) соответственно. Со временем программа стала расширяться и в неё вошли приложения таких крупных компаний, как Airbnb, Amazon, Facebook✴, Spotify, TikTok и многие другие.

В августе 2019 года Google включила все приложения, получившие более 100 миллионов установок. В этот же период максимальная сумма вознаграждений была увеличена до $20 000 за уязвимости, связанные с удалённым выполнением кода, и до $3000 за уязвимости, ведущие к краже данных или доступу к защищённым компонентам приложений. Информация, собранная в рамках программы, использовалась для создания автоматизированных проверок, которые сканировали все приложения в Google Play на наличие аналогичных уязвимостей. В 2019 году Google сообщила, что эти проверки помогли более чем 300 000 разработчиков устранить уязвимости в более чем 1 млн приложений.

Несмотря на успехи, Google приняла решение о закрытии GPSRP. В письме, направленном разработчикам, компания объяснила, что за последние годы количество выявленных уязвимостей значительно сократилось, что связано с «общим усилением мер безопасности Android и повышением защищённости операционной системы Android». В связи с этим программа прекращает свою работу.

«Ввиду общего повышения уровня безопасности Android и укрепления её функциональности, мы видим снижение числа выявляемых уязвимостей, — говорится в письме от команды Android Security. — Поэтому мы приняли решение завершить программу GPSRP 31 августа». Google также подчеркнула, что все отчёты, поданные до этой даты, будут обработаны, а окончательные решения по вознаграждениям будут приняты до 30 сентября.

В заключение Google выразила благодарность всем специалистам, участвовавшим в программе, и выразила надежду на их участие в других инициативах компании, таких как Android и Google Devices Security Reward Program.