В 2017 году компания Google запустила инициативу Google Play Security Reward Program (GPSRP), которая позволяла исследователям получать вознаграждения за обнаружение уязвимостей в популярных приложениях для Android. Теперь в Google сообщили, что в конце августа программа будет закрыта.
Изначально программа Google Play Security Reward Program распространялась только на небольшую группу разработчиков Android. Они могли получить до 5000 долларов за обнаружение уязвимостей удаленного выполнения кода и до 1000 долларов за проблемы, связанные с кражей конфиденциальных данных.
В 2019 году вознаграждение за обнаружение этих уязвимостей увеличилось до 20 000 и 3 000 долларов соответственно. Программа также была расширена на приложения из любые приложениях из Google Play, насчитывающие не менее 100 миллионов установок.
По словам представителей компании, данные об уязвимостях, которые были собраны в рамках этой программы, использовались для создания автоматизированных проверок, которые затем сканировали все приложения, доступные в Google Play, на предмет схожих уязвимостей.
В 2019 году Google заявляла, что эти автоматизированные проверки помогли более чем 300 000 разработчиков исправить более 1 000 000 приложений.
Теперь, согласно письму, которое представители Google разослали разработчикам, GPSRP будет завершена 31 августа 2024 года, спустя почти семь лет после запуска. Отчеты, отправленные до этого срока, будут рассмотрены до 15 сентября, а окончательные решения о выплате оставшихся вознаграждений будут приняты до конца сентября.
В компании заявили, что решение о закрытии GPSRP было принято по причине уменьшения количества обнаруживаемых уязвимостей, а также в силу «общего повышения уровня безопасности ОС Android» и «усиления защиты функций».
Хотя за прошедшие годы приложения, вероятно, действительно стали более безопасными, закрытие GPSRP может негативно сказаться на безопасности Play Store. Ведь у исследователей больше не будет стимула для поиска и раскрытия уязвимостей, особенно если те затрагивают приложения, у которых нет собственных программ bug bounty.
