Tots hem estat testimonis que, fins i tot després de tants esforços realitzats per Google, les aplicacions malicioses d’alguna manera van aconseguir enganyar el mecanisme de seguretat de la seva Play Store contínuament i infectar milions d’usuaris d’Android.
Per eliminar els errors de la seva botiga Google Play, Google ha llançat ara un programa de recompensa d'errors per a aplicacions d'Android a Google Play Store, que convida els investigadors de seguretat a trobar i informar de vulnerabilitats en algunes de les aplicacions d'Android més populars a Google Play. Anomenat "Recompensa de seguretat de Google Play" el programa de recompensa d'errors ofereix als investigadors de seguretat treballar directament amb els desenvolupadors d'aplicacions d'Android per trobar i solucionar els defectes de les aplicacions d'Android, per la qual cosa Google pagarà almenys 1000 dòlars cadascun en recompenses.
Segons aquest programa anunciat dijous, els investigadors de seguretat han de fer una còpia de seguretat dels controls automàtics que no han pogut bloquejar el malware i altres problemes que infecten la botiga d'aplicacions.
Google col·labora amb HackerOne, una plataforma de recompensa d'errors, per ajudar-lo a eliminar les aplicacions malicioses que sovint no són detectades per les exploracions de programari.
Els escaneigs de programari no poden coincidir amb la capacitat d'una persona per descobrir "un hack realment creatiu", va dir en una entrevista Vineet Buch, directora de gestió de productes de Google Play Apps and Games.
D'acord amb HackerOne, els pirates informàtics identificaran les vulnerabilitats de l’aplicació i l’informaran al desenvolupador de l’aplicació i elaboraran una resolució en un termini de 90 dies. Un cop resolta la vulnerabilitat de seguretat, el pirata informàtic sol·licita una recompensa al programa. Un cop s'hagi avaluat i compleixi els criteris de Google, el cercador obtindrà 1000 dòlars.
"L'objectiu del programa és millorar encara més la seguretat de les aplicacions, cosa que beneficiarà els desenvolupadors, els usuaris d'Android i tot l'ecosistema de Google Play", va escriure Google a entrada de bloc.
"De moment, l'abast d'aquest programa es limita a les vulnerabilitats RCE (execució de codi remot) i als POC (Prova de conceptes) corresponents que funcionen en dispositius Android 4.4 i versions posteriors". El programa i la recompensa només es restringeixen a les aplicacions que s'hagin inscrit en aquest programa de recompenses de seguretat de Play. Aquests inclouen aplicacions com Alibaba, Dropbox, Duolingo, Headspace, Mail.Ru, Snapchat, i Tinder. Google diu que aquesta llista s’ampliarà amb el temps.
Millor tard que mai.
