W lipcu Google ogłosiło spore zmiany w swoim programie bug bounty: dodano nowe kategorie, ale też znacznie (niekiedy nawet trzykrotnie) zwiększono wysokość nagród. Teraz korporacja ogłosiła kolejne nowości w programie nagradzania znalazców podatności w oprogramowaniu: bug bounty rozszerzone będzie na sklep Google Play, a Google będzie płacić za odnajdywanie dziur w cudzych aplikacjach.
Jak czytamy na łamach bloga deweloperskiego Androida, w programie Google Play Security Reward Program nastąpią spore zmiany. Odtąd będzie on obejmował wszystkie aplikacje dostępne w oficjalnym sklepie z oprogramowaniem na Androida, które zostały pobrane co najmniej 100 mln razy. Oprócz finansowania Google zajmie się także dbaniem o to, by informacje o podatnościach trafiały w bezpieczny sposób do deweloperów:
To otwiera ekspertom ds. bezpieczeństwa drzwi do udzielania pomocy w postaci identyfikowania i usuwania luk w aplikacjach setek organizacji. Jeśli programiści mają już własne programy bug bounty, badacze mogą otrzymywać nagrody bezpośrednio od nich, niezależnie od nagród Google. Zachęcamy twórców aplikacji do uruchamiania własnego programu ujawniania luk w zabezpieczeniach lub programu bug bounty, by możliwa była współpraca bezpośrednio ze społecznością badaczy bezpieczeństwa.
Na pomoc Google mogą zatem odtąd liczyć tacy giganci, jak Microsoft czy Twitter, choć obie te korporacje prowadzą analogiczne programy wynagradzania znalazców podatności. Oprócz zmian w GPSRP Google zapowiedziało także uruchomienie Developer Data Protection Reward Program, w którym nagradzać będzie „każdego, kto dostarczy weryfikowalny i jednoznaczny dowód nadużyć w zakresie przetwarzania danych”.
Decyzja Google nie powinna być zaskoczeniem – wszak bezpieczeństwo Google Play to od dawna sól w oku korporacji. Po chybionych metodach radzenia sobie z tym problemem za pomocą zmian w uprawnieniach, Google postanowiło skorzystać z zasobu, którego ma pod dostatkiem – z pieniędzy. Czy przełoży się to na poprawę bezpieczeństwa całego androidowego ekosystemu? Czas pokaże.
Zobacz też: Google Project Zero ma już 5 lat. Tylko 4% luk nie załatano przed terminem