В 2017 году Google запустил программу вознаграждений за безопасность Play, чтобы поощрять исследователей к поиску уязвимостей в собственных и сторонних приложениях. Инициатива теперь охватывает все приложения для Android с более чем 100 миллионами установок.
GPSRP позволяет исследователям безопасности находить ошибки и сообщать о них непосредственно разработчику приложения. После устранения Google выплатит вознаграждение, причем эта программа помогает решать проблемы в популярных приложениях для Android. Google уже выплатил 265 000 долларов в виде вознаграждений и недавно увеличил суммы.
Сегодня Google расширяет область применения GPSRP, охватывая все приложения в Play Store с более чем 100 миллионами установок. Это позволяет сообщать о проблемах, даже если у разработчика приложения нет программы раскрытия информации об уязвимостях или программы вознаграждений за ошибки. Google Play поможет ответственно раскрывать выявленные уязвимости в таких ситуациях. Ранее программа требовала от заинтересованных разработчиков Android подачи заявки на участие, после чего Google определял соответствие требованиям.
Это открывает двери для исследователей безопасности, чтобы помочь сотням организаций выявлять и устранять уязвимости в своих приложениях. Если у разработчиков уже есть свои программы, исследователи могут получать вознаграждения непосредственно от них в дополнение к вознаграждениям от Google. Мы призываем разработчиков приложений запускать свои собственные программы раскрытия информации об уязвимостях или программы вознаграждений за ошибки для работы непосредственно с сообществом исследователей безопасности.
Эта программа также помогает Google создавать автоматизированные проверки, которые могут использоваться для сканирования всех приложений в Play Store на наличие аналогичных уязвимостей. В рамках программы Улучшение безопасности приложений эта существующая инициатива помогла 300 000 разработчиков исправить более 1 000 000 приложений.
Только в 2018 году программа помогла более чем 30 000 разработчикам исправить более 75 000 приложений. Конечный эффект заключается в том, что эти 75 000 уязвимых приложений не распространяются среди пользователей до тех пор, пока проблема не будет устранена.
Сегодня Google также запускает Программу вознаграждений за защиту данных разработчиков совместно с HackerOne, ориентированную на злоупотребление данными. Она направлена на выявление и устранение проблем в приложениях для Android, проектах OAuth и расширениях Chrome.