Google Play não pagará mais para descobrir vulnerabilidades em aplicativos populares do Android

Vulnerabilidades de segurança estão à espreita na maioria dos aplicativos que você usa no dia a dia; simplesmente não há como a maioria das empresas corrigir preventivamente todos os problemas de segurança possíveis por causa de erro humano, prazos, falta de recursos e uma infinidade de outros fatores. É por isso que muitas organizações executam programas de recompensa por bugs para obter ajuda externa para corrigir esses problemas. O Google Play Security Reward Program (GPSRP) é um exemplo de um programa de recompensa por bugs que pagava pesquisadores de segurança para encontrar vulnerabilidades em aplicativos Android populares, mas ele será encerrado no final deste mês.

O Google anunciou o Programa de Recompensas de Segurança do Google Play em outubro de 2017 como uma forma de incentivar pesquisadores de segurança a encontrar e, mais importante, divulgar de forma responsável vulnerabilidades em aplicativos Android populares distribuídos pela Google Play Store.

Quando o GPSRP foi lançado pela primeira vez, ele era limitado a um número seleto de desenvolvedores que só tinham permissão para enviar vulnerabilidades elegíveis que afetassem aplicativos de um pequeno número de desenvolvedores participantes. Vulnerabilidades elegíveis incluem aquelas que levam à execução remota de código ou roubo de dados privados inseguros, com pagamentos inicialmente atingindo um máximo de $ 5.000 para vulnerabilidades do primeiro tipo e $ 1.000 para o último tipo.

Ao longo dos anos, o escopo do programa Google Play Security Rewards Program se expandiu para abranger desenvolvedores de alguns dos maiores aplicativos Android, como Airbnb, Alibaba, Amazon, Dropbox, Facebook, Grammarly, Instacart, Line, Lyft, Opera, Paypal, Pinterest, Shopify, Snapchat, Spotify, Telegram, Tesla, TikTok, Tinder, VLC e Zomato, entre muitos outros.

Em agosto de 2019, o Google abriu o GPSRP para cobrir todos os aplicativos no Google Play com pelo menos 100 milhões de instalações, mesmo que eles não tivessem seu próprio programa de divulgação de vulnerabilidades ou recompensa por bugs. Em julho de 2019, as recompensas foram aumentadas para um máximo de US$ 20.000 para bugs de execução remota de código e US$ 3.000 para bugs que levaram ao roubo de dados privados inseguros ou acesso a componentes protegidos do aplicativo.

O objetivo do Google Play Security Reward Program era simples: o Google queria tornar a Play Store um destino mais seguro para aplicativos Android. De acordo com a empresa, os dados de vulnerabilidade coletados do programa foram usados ​​para ajudar a criar verificações automatizadas que escaneavam todos os aplicativos disponíveis no Google Play em busca de vulnerabilidades semelhantes. Em 2019, o Google disse que essas verificações automatizadas ajudaram mais de 300.000 desenvolvedores a corrigir mais de 1.000.000 de aplicativos no Google Play. Assim, o efeito downstream do GPSRP é que menos aplicativos vulneráveis ​​são distribuídos para usuários do Android.

No entanto, o Google decidiu encerrar o Google Play Security Reward Program. Em um e-mail para desenvolvedores participantes, como Sean Pesce, a empresa anunciou que o GPSRP terminará em 31 de agosto.

O motivo que eles deram é que o programa viu uma diminuição no número de vulnerabilidades acionáveis ​​relatadas. O Google credita esse sucesso ao “aumento geral na postura de segurança do sistema operacional Android e aos esforços de reforço de recursos”.

O e-mail completo enviado aos desenvolvedores está reproduzido abaixo:

“Caros Pesquisadores,

Espero que este e-mail o encontre bem. Estou escrevendo para expressar minha sincera gratidão a todos vocês que enviaram bugs para o Google Play Security Reward Program nos últimos anos. Suas contribuições foram inestimáveis ​​para nos ajudar a melhorar a segurança do Android e do Google Play.

Como resultado do aumento geral na postura de segurança do sistema operacional Android e dos esforços de reforço de recursos, vimos menos vulnerabilidades acionáveis ​​relatadas pela comunidade de pesquisa. Devido a essa diminuição nas vulnerabilidades acionáveis ​​relatadas, estamos encerrando o programa GPSRP. O programa GPSRP terminará em 31 de agosto. Todos os relatórios enviados antes disso serão triados até 15 de setembro. As decisões finais de recompensa serão feitas antes de 30 de setembro, quando o programa for oficialmente descontinuado. Os pagamentos finais podem levar algumas semanas para serem processados.

Quero garantir que todos os seus relatórios serão revisados ​​e abordados antes do término do programa. Valorizamos muito sua contribuição e queremos ter certeza de que quaisquer problemas que você identificou sejam resolvidos.

Obrigado novamente pelo seu apoio ao programa GPSRP. Esperamos que você continue trabalhando conosco, em programas como o Android e o Google Devices Security Reward Program.

Atenciosamente,

Tony

Em nome da Equipe de Segurança do Android”

Em setembro de 2018, quase um ano após o anúncio do GPSRP, o Google disse que pesquisadores relataram mais de 30 vulnerabilidades por meio do programa, ganhando uma recompensa combinada de mais de US$ 100 mil. Aproximadamente um ano depois, em agosto de 2019, o Google disse que o programa havia pago mais de US$ 265 mil em recompensas.

Até onde sabemos, a empresa não divulgou quanto pagou aos pesquisadores de segurança desde então, mas ficaríamos surpresos se o número não fosse consideravelmente maior que US$ 265 mil, considerando o tempo desde a última divulgação e o número de aplicativos populares na mira dos pesquisadores de segurança.

O Google encerrar este programa é um saco misto para os usuários. Por um lado, significa que os aplicativos populares já se organizaram, mas, por outro lado, significa que alguns pesquisadores de segurança não terão incentivo para divulgar quaisquer vulnerabilidades futuras de forma responsável, especialmente se essas vulnerabilidades impactarem um aplicativo feito por um desenvolvedor que não executa seu próprio programa de recompensa por bugs.