Google ha una miriade di programmi di bug bounty che aiutano a rimanere al passo con i bug. Chi li trova viene ricompensato. Per mantenere alto l’interesse degli utenti che li scovano, l’azienda ha deciso di introdurlo per il Play Store.
Di recente, Google ha annunciato un’espansione del suo sistema di bug bounty su Google Play per includere nel programma tutte le app con almeno 100 milioni di download. Ha inoltre introdotto premi incentrati sulla privacy. Interessante per coloro che identificano i problemi di abuso di dati nelle app. In passato, solo le vulnerabilità inviate ai programmi degli sviluppatori di app erano idonee. Oggi i ricercatori sulla sicurezza possono rivelare problemi con qualsiasi app che presenti oltre 100 milioni di download. Tutto direttamente con il Programma di ricompensa per la sicurezza di Google Play, è proprio questa la svolta.
Arriva anche nel Play Store di Google la possibilità di ricevere ricompense per ogni bug trovato
La società lavora quindi con lo sviluppatore in questione per correggere i bug. Inoltre, promette un doppio pagamento se gli sviluppatori hanno già i loro programmi per trovare un rimedio. I dati raccolti attraverso questi rapporti vengono utilizzati da Google per migliorare il suo sistema di sicurezza, che notifica automaticamente ad altri sviluppatori problemi simili. Tra l’altro, il nuovo programma per la protezione dei dati degli sviluppatori, creato in collaborazione con HackerOne, non ha lo scopo solo di identificare i problemi di abuso di dati nelle app Android. Infatti, serve anche per i progetti OAuth e le estensioni di Chrome.
Il programma si concentra su “situazioni in cui i dati dell’utente vengono utilizzati o venduti in modo imprevisto o riproposti in modo illegittimo senza il consenso dell’utente“. Chiunque si presenti con “prove verificabili e inequivocabili di abuso di dati” è idoneo al pagamento. Al momento non vengono divulgati i premi massimi, ma Google afferma che “un singolo intervento potrebbe raggiungere un importo di 50.000 dollari“. Si spera che i futuri malware saranno captati più velocemente in questo modo.