C. Scott Brown / Android AuthorityTL;DR Google ogłosiło zakończenie programu Google Play Security Reward Program. Program został wprowadzony pod koniec 2017 r., aby zachęcić badaczy bezpieczeństwa do znajdowania i odpowiedzialnego ujawniania luk w popularnych aplikacjach na Androida. Google twierdzi, że kończy program z powodu spadku liczby luk w zabezpieczeniach, które można naprawić, zgłaszanych przez badaczy bezpieczeństwa. Luki w zabezpieczeniach czyhają w większości aplikacji, z których korzystasz na co dzień; większość firm po prostu nie ma możliwości, aby zapobiegawczo naprawić każdy możliwy problem z bezpieczeństwem z powodu błędów ludzkich, terminów, braku zasobów i wielu innych czynników. Dlatego wiele organizacji uruchamia programy bug bounty, aby uzyskać zewnętrzną pomoc w naprawianiu tych problemów. Program nagród bezpieczeństwa Google Play (GPSRP) to przykład programu nagród za błędy, w ramach którego badacze bezpieczeństwa otrzymują wynagrodzenie za znajdowanie luk w popularnych aplikacjach na Androida. Pod koniec tego miesiąca program ten zostanie jednak zamknięty. Google ogłosiło program nagród bezpieczeństwa Google Play w październiku 2017 r. jako sposób na zachęcenie osób poszukujących rozwiązań bezpieczeństwa do znajdowania i, co najważniejsze, odpowiedzialnego ujawniania luk w popularnych aplikacjach na Androida udostępnianych za pośrednictwem sklepu Google Play. Gdy program GPSRP został uruchomiony po raz pierwszy, była on ograniczony do wybranej grupy deweloperów, którzy mogli zgłaszać jedynie kwalifikujące się luki w zabezpieczeniach aplikacji pochodzących od niewielkiej liczby uczestniczących deweloperów. Dopuszczalne luki obejmują te, które prowadzą do zdalnego wykonania kodu lub kradzieży niezabezpieczonych danych prywatnych, przy czym wypłaty początkowo osiągały maksymalnie 5000 USD za luki w zabezpieczeniach pierwszego typu i 1000 USD za luki drugiego typu. Z biegiem lat zakres programu nagród bezpieczeństwa Google Play został rozszerzony, aby objąć deweloperów niektórych z największych aplikacji na Androida, takich jak Airbnb, Alibaba, Amazon, Dropbox, Facebook, Grammarly, Instacart, Line, Lyft, Opera, Paypal, Pinterest, Shopify, Snapchat, Spotify, Telegram, Tesla, TikTok, Tinder, VLC i Zomato, wśród wielu innych. W sierpniu 2019 r. Google udostępniło GPSRP, aby objąć nim wszystkie aplikacje w Google Play, które mają co najmniej 100 milionów instalacji, nawet jeśli nie mają własnego programu ujawniania luk w zabezpieczeniach ani programu nagród za błędy. W lipcu 2019 r. nagrody zwiększono do maksymalnie 20 000 USD za błędy umożliwiające zdalne wykonanie kodu i 3000 USD za błędy prowadzące do kradzieży niezabezpieczonych danych prywatnych lub dostępu do chronionych komponentów aplikacji.
Mishaal Rahman / Android AuthorityCel programu Google Play Security Reward Program był prosty: Google chciało uczynić Play Store bezpieczniejszym miejscem dla aplikacji na Androida. Według firmy dane o lukach w zabezpieczeniach zebrane z programu zostały wykorzystane do stworzenia automatycznych kontroli, które skanowały wszystkie aplikacje dostępne w Google Play pod kątem podobnych luk w zabezpieczeniach. W 2019 r. Google poinformowało, że te automatyczne kontrole pomogły ponad 300 000 programistom naprawić ponad 1 000 000 aplikacji w Google Play. Tak więc, efektem ubocznym GPSRP jest to, że mniej podatnych aplikacji jest dystrybuowanych do użytkowników Androida. Jednak Google zdecydowało się teraz zakończyć program Google Play Security Reward Program. W wiadomości e-mail do uczestniczących programistów, takich jak Sean Pesce, firma ogłosiła, że GPSRP zakończy się 31 sierpnia.Powodem, który podali, jest to, że program odnotował spadek liczby zgłaszanych luk w zabezpieczeniach, które można naprawić. Google przypisuje ten sukces „ogólnemu zwiększeniu bezpieczeństwa systemu operacyjnego Android i wysiłkom na rzecz wzmocnienia funkcji”. Poniżej zamieszczono pełną treść wiadomości e-mail wysłanej do deweloperów:
„Drodzy badacze, mam nadzieję, że ten e-mail zastanie was w dobrym zdrowiu. Piszę, aby wyrazić moją szczerą wdzięczność wszystkim, którzy zgłaszali błędy w programie Google Play Security Reward Program w ciągu ostatnich kilku lat. Wasz wkład był nieoceniony w pomaganiu nam w poprawie bezpieczeństwa Androida i Google Play. W wyniku ogólnego wzrostu bezpieczeństwa systemu operacyjnego Android i wysiłków na rzecz wzmocnienia funkcji, odnotowaliśmy mniej możliwych do podjęcia działań luk zgłoszonych przez społeczność badawczą. Ze względu na ten spadek liczby możliwych do podjęcia działań luk w zabezpieczeniach kończymy program GPSRP. Program GPSRP zakończy się 31 sierpnia. Wszystkie zgłoszenia przesłane przed tym terminem zostaną ocenione do 15 września. Ostateczne decyzje dotyczące nagród zostaną podjęte przed 30 września, kiedy program zostanie oficjalnie zakończony. Przetworzenie ostatecznych płatności może potrwać kilka tygodni. Chcę zapewnić, że wszystkie Wasze zgłoszenia zostaną sprawdzone i rozwiązane przed zakończeniem programu. Bardzo cenimy Wasz wkład i chcemy mieć pewność, że wszelkie zidentyfikowane przez Was problemy zostaną rozwiązane. Jeszcze raz dziękujemy za wsparcie programu GPSRP. Mamy nadzieję, że będziecie kontynuować współpracę z nami w ramach programów takich jak Android i Google Devices Security Reward Program. Z poważaniem, Tony W imieniu zespołu Android Security Team”
We wrześniu 2018 r., prawie rok po ogłoszeniu GPSRP, Google poinformowało, że badacze zgłosili ponad 30 luk w zabezpieczeniach za pośrednictwem programu, zarabiając łącznie ponad 100 tys. dolarów nagrody. Około rok później, w sierpniu 2019 r., Google poinformowało, że program wypłacił ponad 265 tys. dolarów nagród. O ile nam wiadomo, firma nie ujawniła, ile wypłaciła badaczom ds. bezpieczeństwa od tego czasu, ale bylibyśmy zaskoczeni, gdyby kwota ta nie była zauważalnie wyższa niż 265 tys. dolarów, biorąc pod uwagę, jak długo minęło od ostatniego ujawnienia i liczbę popularnych aplikacji na celowniku badaczy ds. bezpieczeństwa. Zamknięcie tego programu przez Google to mieszanka dla użytkowników. Z jednej strony oznacza to, że popularne aplikacje w dużej mierze wzięły się do roboty, ale z drugiej strony oznacza to, że niektórzy badacze ds. bezpieczeństwa nie będą mieli motywacji, aby odpowiedzialnie ujawniać przyszłe luki w zabezpieczeniach, zwłaszcza jeśli luki te dotyczą aplikacji stworzonej przez dewelopera, który nie prowadzi własnego programu bug bounty.
Masz wskazówkę? Porozmawiaj z nami! Napisz do naszego zespołu na adres [email protected]. Możesz pozostać anonimowy lub otrzymać uznanie za informacje, to Twój wybór.Komentarze