A raíz de los escándalos de abuso de datos y varios casos de aplicaciones de malware descubiertas en Play Store, Google amplió hoy su programa de recompensas por errores para reforzar la seguridad de las aplicaciones de Android y las extensiones de Chrome distribuidas a través de su plataforma.
La expansión del programa de recompensas por vulnerabilidades de Google incluye principalmente dos anuncios principales.
Primero, un nuevo programa, denominado ‘Programa de recompensas de protección de datos para desarrolladores’ (DDPRP), en el que Google recompensará a los investigadores de seguridad y piratas informáticos que encuentren «evidencia verificable e inequívoca» de problemas de abuso de datos en aplicaciones de Android, proyectos OAuth y extensiones de Chrome.
En segundo lugar, ampliar el alcance de su Programa de recompensas de seguridad de Google Play (GPSRP) para incluir todas las aplicaciones de Android de Google Play Store con más de 100 millones o más de instalaciones, lo que ayuda a los desarrolladores de aplicaciones afectadas a corregir las vulnerabilidades mediante divulgaciones responsables.
Obtenga recompensas para encontrar aplicaciones de Chrome y Android que abusan de los datos
El programa de recompensas por errores de abuso de datos tiene como objetivo evitar escándalos como Cambridge Analytica que golpeó a Facebook con $ 5 mil millones en multas por no identificar situaciones en las que los datos del usuario se usan o se venden inesperadamente o se reutilizan ilegítimamente sin el consentimiento del usuario.
«Si se identifica un abuso de datos relacionado con una aplicación o extensión de Chrome, esa aplicación o extensión se eliminará de Google Play o Google Chrome Web Store», dice Google en su publicación de blog publicada hoy.
«En el caso de que un desarrollador de aplicaciones abuse del acceso a los ámbitos restringidos de Gmail, se eliminará su acceso a la API».
Google aún no ha anunciado ninguna tabla de recompensas para el programa DDPRP, pero aseguró que un solo informe podría generar hasta $ 50,000 en recompensas según el impacto.
Bug Bounty en todas las aplicaciones de Android con más de 100 millones de descargas
Por otro lado, el programa GPSRP, que se lanzó inicialmente en 2017, se limitaba hasta hoy a informar únicamente sobre vulnerabilidades en aplicaciones populares de Android en Google Play Store.
Con el último anuncio, Google ahora trabajará con los desarrolladores de cientos de miles de aplicaciones de Android, cada una con al menos 100 millones de descargas, ayudándolos a recibir informes de vulnerabilidad e instrucciones sobre cómo parchearlas en sus Play Consoles.
«Estas aplicaciones ahora son elegibles para recompensas, incluso si los desarrolladores de aplicaciones no tienen su propio programa de divulgación de vulnerabilidades o de recompensas por errores», dice Google.
«Si los desarrolladores ya tienen sus propios programas, los investigadores pueden obtener recompensas directamente de ellos además de las recompensas de Google».
Como parte del programa de mejora de la seguridad de las aplicaciones (ASI) de Google, esta iniciativa existente ya ha ayudado a más de 300 000 desarrolladores a reparar más de 1 000 000 de aplicaciones en Google Play Store.
Con suerte, ambas medidas ahora permitirán a Google evitar que las aplicaciones maliciosas de Android y las extensiones de Chrome abusen de los datos de sus usuarios, así como reforzar la seguridad de las aplicaciones distribuidas a través de Play Store.
