As vulnerabilidades de segurança estão muitas vezes presentes na maioria das aplicações que utilizamos no dia a dia; não existe forma da maioria das empresas corrigir preventivamente todos os problemas de segurança possíveis devido a uma multiplicidade de fatores, incluindo erro humano, prazos e falta de recursos.
É por isso que muitas organizações disponibilizam programas de recompensa por bugs para obter ajuda externa na correção destes problemas. O Google Play Security Reward Program era um exemplo de um programa de recompensa de bugs, que pagava a investigadores de segurança para encontrarem vulnerabilidades em aplicações Android populares. No entanto, esta iniciativa vai ser encerrada no final deste mês.
Um programa que incentivava desenvolvedores a identificar bugs na Play Store
Quando o GPSRP foi lançado pela primeira vez, estava limitado a um número selecionado de programadores, que só podiam apresentar vulnerabilidades elegíveis que afetassem aplicações de um pequeno número de programadores participantes. As vulnerabilidades elegíveis incluiam as que levam à execução remota de código ou ao roubo de dados privados inseguros, com pagamentos que inicialmente atingiam um máximo de 5.000 dólares para vulnerabilidades do primeiro tipo e 1.000 dólares para o segundo tipo.
O objetivo do GPSRP era simples: A Google queria tornar a Play Store um destino mais seguro para as aplicações Android. De acordo com a empresa, os dados de vulnerabilidade coletados no programa foram usados para ajudar a criar verificações automatizadas, que examinaram todos as aplicações disponíveis no Google Play. Em 2019, a Google afirmou que essas verificações automatizadas ajudaram mais de 300.000 desenvolvedores a corrigir mais de 1.000.000 de aplicações no Google Play. Assim, o GPSRP garantiu que menos aplicações vulneráveis fossem distribuídas aos utilizadores de Android.
No entanto, o Google decidiu encerrar o Programa de Recompensa de Segurança do Google Play. Num e-mail para os desenvolvedores participantes, a empresa anunciou que o GPSRP vai terminar no dia 31 de agosto.
A razão dada é que o programa tem visto uma diminuição no número de vulnerabilidades acionáveis relatadas. O Google credita esse sucesso ao “aumento geral na postura de segurança do sistema operacional Android e nos esforços de fortalecimento de recursos”.
Esta foi a carta lançada aos desenvolvedores do programa:
“Caros investigadores,
Espero que este e-mail vos encontre bem. Estou a escrever para expressar a minha sincera gratidão a todos os que submeteram erros ao Programa de Recompensa de Segurança do Google Play ao longo dos últimos anos. As vossas contribuições têm sido inestimáveis para nos ajudar a melhorar a segurança do Android e do Google Play.
Como resultado do aumento geral da postura de segurança do sistema operativo Android e dos esforços de reforço das funcionalidades, temos visto menos vulnerabilidades acionáveis comunicadas pela comunidade de investigação. Devido a esta diminuição das vulnerabilidades acionáveis comunicadas, estamos a encerrar o programa GPSRP. O programa GPSRP será encerrado em 31 de agosto. Todos os relatórios enviados antes dessa data serão submetidos a uma triagem até 15 de setembro. As decisões finais de recompensa serão tomadas antes de 30 de setembro, quando o programa for oficialmente descontinuado. Os pagamentos finais podem demorar algumas semanas a serem processados.
Quero assegurar-vos que todos os vossos relatórios serão analisados e tratados antes do fim do programa. Valorizamos muito o vosso contributo e queremos garantir que todos os problemas que identificaram são resolvidos.
Mais uma vez, obrigado pelo vosso apoio ao programa GPSRP. Esperamos que continuem a trabalhar connosco, em programas como o Programa de Recompensa pela Segurança do Android e dos Dispositivos Google.
Com os melhores cumprimentos,
Tony
Em nome da equipa de segurança da Android”
