Dado que “la comunidad de investigadores ha informado de menos vulnerabilidades procesables”, Google ya no cree que el programa GPSRP sea necesario para mantener segura la Play Store.
El programa Google Play Security Rewards llega a su fin después de siete años de mantenerse y proteger a los usuarios de la Play Store de Android. El programa de recompensas por errores de Google se discontinuará, lo que significa que la compañía ya no recompensará a las personas por encontrar errores en las aplicaciones que llegan a la Play Store. La finalización del programa Google Play Security Rewards (GPSRP) se ha vinculado a la “disminución de las vulnerabilidades procesables informadas” y, como resultado, el programa llegará a su fin el 31 de agosto.
Finaliza el programa de recompensas de seguridad de Google Play: se ayudó a más de 1 000 000 de aplicaciones
El programa de recompensas de seguridad de Google Play comenzó como una forma de que Google mejorara la seguridad de las aplicaciones que ofrecía a sus usuarios. Independientemente de lo minuciosos que sean los desarrolladores, pueden encontrarse errores de forma inesperada y, si bien algunos errores inocentes solo resultan en fallas inusuales, los más peligrosos pueden dejar a los usuarios vulnerables a la pérdida de datos y daños permanentes en sus dispositivos. Los desarrolladores de aplicaciones tradicionalmente revisan sus propias aplicaciones en busca de errores o tienen programas de recompensas por errores en los que recompensan a los desarrolladores por informar cualquier problema con sus aplicaciones.
Google fue un paso más allá y recompensó adicionalmente a los desarrolladores por las aplicaciones en su tienda, que según afirmó fue el primer programa en pagar una recompensa adicional además de los programas de recompensa por vulnerabilidad de los desarrolladores que brindan las propias aplicaciones.
El programa de recompensas de seguridad de Google Play (GPSRP) es un programa de recompensas por vulnerabilidades que ofrece Google Play en colaboración con los desarrolladores de determinadas aplicaciones populares de Android. Reconoce las contribuciones de los investigadores de seguridad que invierten su tiempo y esfuerzo para ayudar a que las aplicaciones de Google Play sean más seguras.
El objetivo del programa es identificar y mitigar vulnerabilidades en las aplicaciones de Google Play y mantener seguros a los usuarios de Android, a los desarrolladores y al ecosistema de Google Play.
—Directrices para la búsqueda de errores de Google
Ahora que el “GPSRP ha logrado su objetivo después de 7 años”, la empresa ya no siente que sea necesario mantener vivo el programa.
El programa GPSR se introdujo en octubre de 2017 para incentivar a los expertos en seguridad que pudieran buscar vulnerabilidades en las aplicaciones de Android distribuidas a través de Google Play Store. Inicialmente, el programa estaba restringido a una lista limitada de desarrolladores y estos solo podían recibir una recompensa por detectar problemas dentro de una lista limitada de aplicaciones. Según Autoridad de AndroidCon el tiempo, las aplicaciones cubiertas por el programa se expandieron considerablemente para incluir Grammarly, PayPal, Amazon, Snapchat, Tinder, etc.
Más tarde, en 2019, el Programa de recompensas de seguridad de Google Play se extendió a todas las aplicaciones de la tienda que tuvieran al menos 100 millones de instalaciones y la recompensa por detectar un problema también se incrementó a 20 000 dólares. Google tenía un conjunto elaborado de reglas del programa que detallaban el tipo de errores que se esperaba que encontraran los desarrolladores.
Las pautas también explicaban qué sucedería si el informe era duplicado o si se detectaban problemas de vulnerabilidad en el SDK y la biblioteca. Para los problemas conocidos que se detectaron, Google había limitado la recompensa a 500 USD para reconocer el esfuerzo del denunciante, incluso si no calificaba para una recompensa completa.
Imagen: Criterios de recompensa del programa de recompensas de seguridad de Google Play
Google ha declarado que Los datos del programa se utilizaron para establecer controles automatizados. que podría utilizarse para revisar las aplicaciones en la plataforma sin necesidad de una revisión externa. La empresa afirmó que en En 2019, los controles ayudaron a más de 300.000 desarrolladores a reparar más de 1.000.000 de aplicaciones.
Desde entonces, es probable que haya habido un número mucho mayor de desarrolladores de aplicaciones que se han beneficiado de este modelo, así como de las comprobaciones automatizadas que han identificado problemas comunes que otras aplicaciones han encontrado antes.
¿Qué sigue ahora que se ha descontinuado el programa Google Bug Bounty?
El Programa de recompensas de seguridad de Google Play finalizará el 31 de agosto de 2024. Los informes enviados antes de esa fecha serán evaluados antes del 15 de septiembre y las decisiones finales sobre las recompensas se tomarán antes del 30 de septiembre, que es la fecha oficial de interrupción del programa de recompensas por errores de Google. Esto significa que los desarrolladores todavía tienen poco más de una semana para enviar sus informes de vulnerabilidades descubiertas para obtener una recompensa antes de que el programa se cierre.
Aunque Google está poniendo fin a su programa de recompensas por errores, muchos desarrolladores de aplicaciones tienen su propia versión de este tipo de sistemas de recompensas a los que se puede informar directamente cuando se detecta un error. Incluso sin un sistema de recompensas, las personas que noten una vulnerabilidad deberían poder informar directamente al desarrollador para mantener a los usuarios a salvo. El problema con la interrupción de Google Play Security Rewards es que ahora habrá pocas razones para que los desarrolladores dediquen su tiempo a analizar los programas en busca de vulnerabilidades.
La noticia de que el programa Google Play va a terminar no significa que la organización ya no priorizará la seguridad de las aplicaciones. El programa Google Play Security Reward era solo una pequeña parte de las medidas de seguridad de la empresa, que simplemente añadía una capa adicional de revisión de las aplicaciones que llegaban a la tienda.
Google siempre ha tenido un sistema robusto de comprobar si hay aplicaciones fraudulentas y peligrosas y filtrarlas del sistema, y A pesar de que algunas aplicaciones maliciosas aún logran abrirse pasoEl sistema es integral. En 2023, el propietario de Play Store afirmó que había impedido que se publicaran en Google Play 2,28 millones de aplicaciones que infringían las políticas y había prohibido 333.000 cuentas maliciosas de Play por infracciones.
Los desarrolladores seguirán siendo responsables de mantener la seguridad de sus propias aplicaciones con el apoyo de otras funciones de seguridad de Google. El Programa de recompensas de seguridad para dispositivos Android y Google y el Programa de recompensas por vulnerabilidades móviles de Google también están disponibles para que los cazadores de errores se beneficien de ellos. Es probable que el equipo de seguridad interna de la empresa tenga un papel más importante en mantener la seguridad de la plataforma que el que tenía el programa GPSRP, por lo que la transición para abandonar el programa puede no ser tan preocupante como parece en un principio.
