Levélben értesítette regisztrált hibavadászait a Google Play, hogy augusztus 31-én leállítja a Google Play Security Reward Programot (GPSRP). Az Android Authority közli a levél teljes szövegét, melyben a cég az érdeklődés hiányával indokolta a program leállítását. Mint írják, az Android operációs rendszer biztonságának általános javulása és a funkciók biztonsági réseinek felderítésérére és javítására irányuló erőfeszítések eredményeként a kutatóközösség egyre kevesebb érdemi sebezhetőséget jelentett.

A leállításig, tehát az e hónap végéig beérkező sérülékenységeket azonban a Google Play biztonsági csapata még megvizsgálja legkésőbb szeptember 15-ig, és az esetleges díjazásról is döntenek legkésőbb szeptember végéig. A kifizetések feldolgozása azonban néhány hetet igénybe vehet.

Erősítette a biztonsági hálót

A Google 2017 októberében indította el a programot. Ezzel kívánta ösztönözni a sérülékenységvadászokat, hogy intenzívebben foglalkozzanak a Google Play-ben terjesztett népszerű Android-alkalmazásokkal. Kezdetben meglehetősen szűk volt mind a programba bevont kutatók száma, mind az érintett appok köre. A Google elsősorban az érzékeny adatok szivárgását és a távoli kódfuttatást lehetővé tevő sérülékenységekért fizetett 1000-5000 dollár közötti összegeket.

A program fokozatosan bővült, és számos sérülékenység feltárásával járult hozzá olyan népszerű appok biztonságának javításához, mint az Airbnb, az Amazon, a Dropbox, a Facebook, a Lyft, a Snapchat, a Spotify vagy a Telegram. A GPSRP-t 2019 augusztusában terjesztették ki a Google Play összes olyan appjára, amely elérte a 100 millió telepítést. Minden ilyen aalkalmazás bekerült a programba függetlenül attól, hogy volt-e saját sebezhetőségbejelentési vagy bug bounty programja.

Ekkor már a GPSRP jutalmai is jelentősebbek voltak. Egy távoli kódfuttatási hiba megtalálását akár 20 ezer dollárral is honorálták, a szenzitív adatok szivárgását lehetővé tevő sérülékenységért pedig maximum ötezret fizettek.

A program elég sok biztonsági kutatót vonzott. Alig egy évvel indulása után, még a "zártkörű" szakaszában is több mint 30 díjazandó sebezhetőséget találtak a kutatók, melyekért összesen 100 ezer dollárnál is többet fizetett ki a Google. Újabb egy év alatt a jutalom összege már 265 ezer dollárra nőtt. Ez volt egyébként az utolsó év, amikor nyilvánosságra hozták a kifizetett összeget.

Mi marad a GPSRP helyett?

Mint azt a Google mindig is hangsúlyozta, minden app biztonságáért a fejlesztője felel. A népszerű alkalmazások (amik mögött nagyobb cégek állnak) ezért általában kialakítottak bug bounty programot, vagy legalább létrehoztak saját felületet, ahol akár a felhasználók is bejelenthetik, ha valami rendellenességet tapasztalnak.

A Google sem engedi el teljesen a szabad hibavadászokat: viszi tovább az Android and Google Devices Security Reward Programot, valamint a Google Mobile Vulnerability Reward Programot. Emellett valószínűsíthetően a vállalat belső biztonsági csapatának a szerepe is nőni fog a platform biztonságának fenntartásában.