Google більше не платитиме за виявлення вразливостей в Android-програмах

Google закриває програму виплати винагород за виявлення вразливостей в Android-додатках. Як повідомляє Android Authority, програма Google Play Security Reward Program (GPSRP), яка успішно діяла майже 7 років, дозволяла стороннім розробникам отримувати грошові винагороди за виявлення багів у популярних додатках, розміщених в магазині Google Play.

Спочатку GPSRP була розрахована на обмежене коло фахівців з кібербезпеки та передбачала відносно невеликі винагороди за знайдені вразливості. Максимальні виплати становили $5000 (за баг, який дозволяє віддалене виконання коду) та $1000 (крадіжка даних). Згодом програма стала розширюватися і до неї в якості партнерів увійшли такі великих IT-компанії, як Airbnb, Amazon, Facebook, Spotify, TikTok та інші.

У серпні 2019 року Google розширила число учасників програми, а максимальна сума винагород була збільшена до $20 000 за вразливість, пов’язану з віддаленим виконанням коду, і до $3000 за вразливість, що веде до крадіжки даних або доступу до захищених компонентів додатків. 

Інформація, зібрана в рамках програми GPSRP, використовувалася для створення автоматизованих перевірок, які сканували всі програми Google Play на наявність аналогічних вразливостей. У 2019 році Google повідомила, що ці перевірки допомогли більш ніж 300 000 розробникам усунути вразливості у не менш ніж одному мільйону додатків.

Незважаючи на успіхи, Google вирішила закрити GPSRP. У листі, надісланому розробникам, компанія пояснила, що за останні роки кількість виявлених вразливостей значно скоротилася, і це пов’язано із «загальним посиленням заходів безпеки Android та підвищенням захищеності операційної системи Android». У зв’язку із цим програма припиняє свою роботу.

«Зважаючи на загальне підвищення рівня безпеки Android і зміцнення її функціональності, ми бачимо зниження кількості знайдених вразливостей. Тому ми вирішили завершити програму GPSRP 31 серпня», — йдеться в листі Google. 

Компанія також наголосила, що всі звіти, подані до цієї дати, будуть опрацьовані, а остаточні рішення щодо винагород буде прийнято до 30 вересня.

На завершення Google висловила подяку всім фахівцям, які брали участь у програмі, та висловила надію на їхню участь в інших ініціативах компанії, таких як Android and Google Devices Security Reward Program.