Újabb erősítést kapott a Google Play. Hibavadász, azaz bug bounty programot indít a Google az alkalmazásboltjába feltöltött bizonyos appokra. Ez nagy dolog, hiszen a állalat lényegében azért fizet, hogy valaki harmadik fél által fejlesztett alkalmazásokban találjon biztonsági rést. A dolog persze ennél kicsit bonyolultabb.

Szélmalomharc az appok biztonságáért

Bár a Google folyamatosan próbálja úgy alakítani alkalmazásáruházának védelmét, hogy az onnan letöltött appok biztonságosak legyenek, sokszor úgy tűnik szélmalomharcot vív. A helyzetet jól jellemzi, hogy mikor egy biztonsági cég alaposabban belenézett – konkrétan reverse engineering technikával visszafejtette, majd a kódot elemezte – 16 ezer népszerűbb alkalmazásba, kb. 15 százalékában (mintegy 2500 alkalmazás) találtak titkos vagy külső féltől származó kulcsokat. Bár ezek zöme biztonságos volt, találtak olyant is, amelyik például teljes jogosultságot biztosított Amazon Web Services instance-ok létrehozásához és törléséhez.

A mostani program valamennyit segíthet a helyzeten, és talán a külső appfejlesztőket is jobb, pontosabb, biztonságtudatosabb kódolásra serkenti. Már ha egyszer szélesebb körben is kiterjesztik. Egyelőre ugyanis csak néhány kiemelt alkalmazás esetében lehet hibákat vadászni. És azt sem akárhogyan.

Csak a fejlesztővel együtt ér

Először is a hibavadászok egyelőre csupán a Google által fejlesztett alkalmazásokban, valamint nyolc, harmadik fél által készített appban (Alibaba, Dropbox, Duolingo, Headspace, Line, Mail.ru, Snapchat, Tinder) kereshetik a sérülékenységeket. Másodszor: a Google appjait közvetlenül a Google-nek, de a külső alkalmazásokét első körben az azt fejlesztő cégnek kell jelenteni. Harmadszor: csak azokért a hibákért jár a jutalmazás, amelyet a fejlesztő már megoldott. Ha megtörtént a hibajavítás, akkor lehet feltölteni a sérülékenységről szóló jelentést a Google bug bounty platformjára, a HackerOne-ra.

Ezt a programot a Google teljesen külön kezeli attól, amelyben a weboldalak és operációs rendszerek hibáival kapcsolatban indított.

Minden más tekintetben egyébként a hibavadászatra hasonló szabályok vonatkoznak, mint az eredeti bug bountynál. Például csak a hibát először jelentőnek jár a jutalom, és csak a súlyos sérülékenységekért fizetnek, például amelyek távoli jogosulatlan kódfuttatást tesznek lehetővé. A program csak az Android 4.4 (KitKat) vagy újabb verzión futó változatokra terjed ki.

Minden befogadott (és javított) sérülékenység kereken 1000 dollárt ér meg a Google-nek. A terv egyébként az, hogy a programba további alkalmazásokat is bevonnak. Ugyanakkor a vállalat hangsúlyozza, hogy ez most egy kísérleti program, és bármikor leállíthatják, ha nem hoz megfelelő eredményeket.