Google Play больше не будет платить за обнаружение уязвимостей в популярных приложениях для Android

от

Google Play больше не будет платить за обнаружение уязвимостей в популярных приложениях для Android

TLDR

  • Компания Google объявила о закрытии программы вознаграждений Google Play Security Reward Program.
  • Программа была запущена в конце 2017 года, чтобы стимулировать исследователей безопасности находить и ответственно раскрывать уязвимости в популярных приложениях для Android.
  • Google заявляет, что сворачивает программу из-за уменьшения количества уязвимостей, требующих принятия мер, о которых сообщают исследователи безопасности.

Как человек, ставший свидетелем развития цифровой безопасности за последние несколько десятилетий, я не могу не испытывать смешанные эмоции, узнав о решении Google свернуть программу вознаграждений за безопасность Google Play (GPSRP). С одной стороны, приятно видеть, что приложения Android значительно улучшили свою безопасность благодаря усилиям усердных исследователей. С другой стороны, я не могу не беспокоиться о том, что это означает для будущего ответственного раскрытия информации и программ вознаграждения за обнаружение ошибок.

Уязвимости безопасности скрываются в большинстве приложений, которые вы используете изо дня в день; У большинства компаний просто нет возможности заранее устранить все возможные проблемы безопасности из-за человеческой ошибки, сроков, нехватки ресурсов и множества других факторов. Вот почему многие организации запускают программы вознаграждения за ошибки, чтобы получить внешнюю помощь в устранении этих проблем. Программа вознаграждений за безопасность Google Play (GPSRP) — это пример программы вознаграждения за обнаружение ошибок, которая платила исследователям безопасности за поиск уязвимостей в популярных приложениях для Android, но позже в этом месяце она закрывается.

В октябре 2017 года Google представила программу вознаграждений Google Play Security Reward Program, предлагая исследователям безопасности стимул выявлять и должным образом сообщать о слабых местах или уязвимостях в широко используемых приложениях Android, доступных в магазине Google Play.

Первоначально GPSRP был доступен исключительно определенной группе разработчиков, которые могли сообщать об ошибках (или уязвимостях) в приложениях только от ограниченного круга разработчиков. Сообщаемые ошибки должны были соответствовать определенным критериям, таким как возможность удаленного выполнения кода или кражи данных из незащищенных источников. Вознаграждения за ошибки, способствующие удаленному выполнению кода, первоначально ограничивались 5000 долларов США, а за ошибки, связанные с кражей данных, полагалась до 1000 долларов США.

Со временем программа вознаграждений за безопасность Google Play расширила сферу своей деятельности и теперь охватывает разработчиков многочисленных известных приложений для Android, таких как Airbnb, Alibaba, Amazon, Dropbox, Facebook, Grammarly, Instacart, Line, Lyft, Opera, PayPal, Pinterest, Shopify, Snapchat, Spotify, Telegram, Tesla, TikTok, Tinder, VLC и Zomato, и это лишь некоторые из них.

Еще в августе 2019 года Google расширил программу вознаграждений Google Play App Security Reward Program (GPSRP), включив в нее любые приложения в Google Play, скачанные не менее 100 миллионов раз, независимо от того, есть ли у них собственная система отчетов об уязвимостях или программа вознаграждения за ошибки. Ранее, в июле 2019 года, Google увеличил вознаграждение за обнаружение ошибок удаленного выполнения кода до максимальной суммы в 20 000 долларов США, а за обнаружение проблем, приводящих к краже конфиденциальных данных или доступу к защищенным компонентам приложения, вознаграждение увеличилось до максимальной суммы в 3000 долларов США.

Google Play больше не будет платить за обнаружение уязвимостей в популярных приложениях для Android

Основная цель программы Google Play Security Reward Program была проста: Google стремился превратить Google Play Store в более безопасную платформу для приложений Android. По их словам, информация, собранная об уязвимостях с помощью этой программы, сыграла важную роль в разработке автоматизированных инструментов, которые тщательно проверяли все приложения в Google Play на наличие аналогичных уязвимостей. В 2019 году Google сообщил, что эти автоматизированные инструменты помогли более 300 000 разработчиков исправить более миллиона приложений в Google Play. Следовательно, влияние GPSRP привело к тому, что пользователям Android стало распространяться меньше опасных приложений.

Я заметил, что Google решила прекратить свою программу вознаграждений за безопасность Google Play (GPSRP). В недавнем обращении к разработчикам, в том числе к Шону Пеше, они ясно дали понять, что эта программа прекратит свое существование к 31 августа.

Причина, по которой они указали, заключается в том, что в программе наблюдается снижение количества обнаруженных уязвимостей, требующих принятия мер. Google связывает этот успех с «общим повышением уровня безопасности ОС Android и усилиями по усилению функций».

Полное письмо, отправленное разработчикам, воспроизведено ниже:

«Уважаемые исследователи!

<див> 

Надеюсь, это письмо вас застанет. Я пишу, чтобы выразить искреннюю благодарность всем, кто за последние несколько лет сообщал об ошибках в программу вознаграждений за безопасность Google Play. Ваш вклад оказал неоценимую помощь нам в повышении безопасности Android и Google Play.

<див> 

В результате общего повышения уровня безопасности ОС Android и усилий по усилению функций мы стали наблюдать меньше уязвимостей, требующих принятия мер, о которых сообщило исследовательское сообщество. В связи с уменьшением количества сообщений об уязвимостях, требующих принятия мер, мы сворачиваем программу GPSRP. Программа GPSRP завершится 31 августа. Все отчеты, представленные до этой даты, будут проверены до 15 сентября. Окончательное решение о вознаграждении будет принято до 30 сентября, когда программа будет официально прекращена. Обработка окончательного платежа может занять несколько недель.

<див> 

Я хочу заверить вас, что все ваши жалобы будут рассмотрены и рассмотрены до завершения программы. Мы очень ценим ваш вклад и хотим быть уверены, что все выявленные вами проблемы будут решены.

<див> 

Еще раз благодарим вас за поддержку программы GPSRP. Мы надеемся, что вы продолжите сотрудничать с нами по таким программам, как Android и Google Devices Security Reward Program.

<див> 

С уважением,
Тони
От имени команды безопасности Android»

К сентябрю 2018 года, примерно через год после запуска GPSRP, Google сообщил, что исследователи обнаружили более 30 уязвимостей с помощью этой программы, совокупное вознаграждение за которые превысило 100 000 долларов. Впоследствии, примерно в августе 2019 года, Google объявил, что в рамках программы было распределено вознаграждений на сумму более 265 000 долларов США.

С точки зрения технического энтузиаста, прошло довольно много времени с тех пор, как компания в последний раз раскрывала сумму, которую они заплатили исследователям безопасности за их выводы. Учитывая этот длительный период и огромное количество популярных приложений, тщательно изучаемых этими экспертами, мне трудно поверить, что общая сумма выплат не превысила значительно отметку в 265 тысяч долларов.

Закрытие этой программы Google приносит пользователям как преимущества, так и недостатки. Хотя это означает, что большинство популярных приложений работают хорошо, это также означает, что некоторые эксперты по кибербезопасности могут не чувствовать мотивации сообщать о будущих недостатках программного обеспечения с этической точки зрения. Это особенно актуально, если уязвимость затрагивает приложение, разработанное компанией, не имеющей собственной программы вознаграждения за ошибки.

Смотрите также

2024-08-19 10:47