В значительном изменении своего подхода к безопасности приложений, Google объявила о прекращении программы вознаграждений за безопасность Google Play (GPSRP), которая функционировала с октября 2017 года. Эта инициатива по поиску уязвимостей была разработана для поощрения внешних исследователей безопасности выявлять и сообщать о уязвимостях в приложениях Android, доступных в Google Play Store.
Изначально GPSRP была нацелена на ограниченную группу разработчиков, позволяя им подавать отчеты о уязвимостях, затрагивающих ограниченное количество приложений. Со временем программа расширила свое охват, включив в себя более широкий спектр приложений от известных компаний, таких как Amazon, Snapchat, Tesla и TikTok. Несмотря на этот рост, Google решила прекратить программу, что означает, что исследователи безопасности больше не будут получать финансовые вознаграждения за свои находки.
Google прекращает программу вознаграждений за безопасность Google Play 31 августа из-за уменьшения количества сообщаемых уязвимостей. pic.twitter.com/4ohrvT04m2 — choqao (@choqao) 19 августа 2024 г.
Будут ли приложения Android теперь подвержены невыявленным рискам безопасности?
Хотя прекращение денежных вознаграждений может вызвать обеспокоенность по поводу безопасности приложений Android, Google утверждает, что это решение основано на уверенности в существующих протоколах безопасности. Компания подчеркивает, что GPSRP сыграла важную роль в повышении общей безопасности Play Store.
На протяжении работы программы Google накопила огромное количество данных об уязвимостях, которые были использованы для разработки автоматизированных проверок, анализирующих все приложения, размещенные в Play Store, на предмет потенциальных проблем с безопасностью. В результате частота уязвимостей, проходящих незамеченными, значительно снизилась, что привело Google к выводу, что Play Store теперь в значительной степени защищен от таких рисков.
Тем не менее, прекращение GPSRP представляет собой вызов для исследователей безопасности, которые могут остаться без финансовых стимулов, ранее мотивировавших их сообщать об уязвимостях. Однако эти исследователи все еще могут участвовать в программе вознаграждений за уязвимости (Vulnerability Rewards Program), которая недавно расширилась и включает платформы генеративного искусственного интеллекта, предоставляя альтернативный путь для признания и вознаграждения в развивающемся ландшафте кибербезопасности.