Программа вознаграждения за обнаружение уязвимостей в популярных приложениях для Android на Google Play Store, которая длилась семь лет, подходит к своему завершению и завершится 31 августа 2024 года. Эта инициатива, вознаграждавшая исследователей безопасности за выявление и ответственное раскрытие уязвимостей, сыграла ключевую роль в укреплении системы безопасности экосистемы Android. С менее чем двумя неделями до окончания программы, охотникам за уязвимостями рекомендуется подать свои находки, чтобы воспользоваться этой возможностью.
История программы вознаграждения за безопасность Google Play Store
С момента своего запуска в 2017 году, программа Google Play Security Reward Program (GPSRP) стимулировала исследователей к изучению популярных приложений для Android, тщательно охотясь за потенциальными уязвимостями. Предлагая значительные вознаграждения за критические уязвимости, Google создала преданную сообщество белых хакеров, стремящихся улучшить безопасность приложений.
Изначально программа была нацелена на ограниченную группу разработчиков и приложений, с вознаграждениями до $20,000 за самые серьезные уязвимости, такие как удаленное выполнение кода. Однако в 2019 году программа расширила свой охват, включив все приложения с более чем 100 миллионами загрузок, увеличив потенциальные выплаты до $30,000.
Недавно Google сообщила о своем решении завершить программу, ссылаясь на заметное снижение количества сообщаемых исследователями уязвимостей. Этот спад в основном объясняется значительными улучшениями в безопасности операционной системы Android и внедрением надежных защитных мер на самой платформе. Только за последний финансовый год Google сообщила о блокировке 2.28 миллиона приложений, нарушающих конфиденциальность, и запрете 333,000 учетных записей злонамеренных разработчиков, наряду с различными улучшениями Play Store.
Несмотря на прекращение программы GPSRP, Google заверила заинтересованные стороны в своей неизменной приверженности безопасности Android. Компания планирует продолжать инвестировать в различные инициативы по безопасности, включая программу вознаграждений за уязвимости Android (AVRP), которая сосредоточена на основной операционной системе Android.
Завершение программы GPSRP знаменует собой значительный сдвиг в стратегии Google в отношении безопасности приложений для Android. Хотя программа несомненно способствовала улучшению безопасности приложений, ее прекращение поднимает важные вопросы о будущем обнаружения уязвимостей и общей безопасности экосистемы Android.
В это время как разработчикам приложений, так и пользователям рекомендуется оставаться бдительными в отношении лучших практик безопасности приложений. Регулярное обновление приложений, осторожность при предоставлении разрешений и внимательность к подозрительным действиям являются важными шагами для защиты личной информации и обеспечения безопасности устройств.
Полный текст письма от Google разработчикам:
Надеюсь, это письмо находит вас в добром здравии. Я пишу, чтобы выразить искреннюю благодарность всем вам, кто отправлял отчеты об ошибках в программу вознаграждения за безопасность Google Play за последние несколько лет. Ваш вклад был неоценимым в помощи нам улучшить безопасность Android и Google Play.
В результате общего повышения уровня безопасности операционной системы Android и усилий по усилению функций мы наблюдаем меньшее количество сообщаемых исследовательским сообществом уязвимостей. В связи с этим снижением количества сообщаемых уязвимостей мы сворачиваем программу GPSRP. Программа GPSRP завершится 31 августа. Все отчеты, поданные до этого времени, будут рассмотрены до 15 сентября. Окончательные решения о вознаграждениях будут приняты до 30 сентября, когда программа официально прекратит свое существование. Окончательные выплаты могут занять несколько недель для обработки.
Я хочу заверить вас, что все ваши отчеты будут рассмотрены и решены до завершения программы. Мы очень ценим ваш вклад и хотим убедиться, что любые выявленные вами проблемы будут решены.