Google ha annunciato la chiusura del programma Play Security Reward che premia sviluppatori e ricercatori di sicurezza per le vulnerabilità scoperte nelle app Android. L’azienda di Mountain View giustifica la decisione con l’aumento delle protezioni del sistema operativo e la diminuzione delle segnalazioni.
Il programma chiude il 31 agosto
Il Google Play Security Reward Program (GPSRP) è stato introdotto ad ottobre 2017 per incentivare sviluppatori e ricercatori di sicurezza nella ricerca di vulnerabilità nelle app Android. È necessario rispettare una serie di regole, tra cui la divulgazione responsabile (non devono essere pubblicati i dettagli prima della distribuzione della patch).
I premi in denaro variano da 500 a 20.000 dollari, in base al tipo di vulnerabilità (esecuzione di codice arbitrario e furto di dati sensibili) e alla modalità usata per sfruttarla. Ad esempio, la segnalazione di vulnerabilità che permettono di eseguire codice arbitrario senza interazione dell’utente viene premiata con 20.000 dollari.
Inizialmente, il programma copriva solo alcune app Android più popolari. Da agosto 2019 è stato esteso a tutte le app con almeno 100 milioni di installazioni. Nell’email inviata agli sviluppatori è scritto che il programma verrà chiuso il 31 agosto. Entro il 30 settembre verranno esaminate le segnalazioni già ricevute e deciso l’eventuale pagamento.
Google spiega che le versioni più recenti di Android offrono protezioni migliori, quindi il numero di segnalazioni è diminuito. Anche il programma Developer Data Protection Reward verrà chiuso entro la stessa data.
Rimangono aperti tutti gli altri, tra cui Android and Google Devices Security Reward (vulnerabilità nei dispositivi Google), Google Mobile Vulnerability Reward (vulnerabilità nelle app Google), Chrome Vulnerability Reward (vulnerabilità in Chrome), Chrome Extensions Vulnerability Reward (vulnerabilità nelle estensioni di Chrome) e ChromeOS Vulnerability Reward (vulnerabilità in ChromeOS).