A raíz de la polémica causada por el abuso de datos y varias instancias de aplicaciones con malware descubiertas en Play Store, Google amplió hoy su programa de recompensas de errores para reforzar la seguridad de las aplicaciones de Android y las extensiones de Chrome distribuidas por medio de su plataforma.
La expansión en el programa de recompensa de vulnerabilidad de Google incluye principalmente dos anuncios principales.
Primero, un nuevo programa denominado «Programa de recompensa de protección de datos de desarrollador» (DDPRP), en el que Google recompensará a los investigadores de seguridad y piratas informáticos que encuentren «evidencia verificable e inequívoca» de problemas de abuso de datos en aplicaciones de Android, proyectos OAuth y extensiones de Chrome.
En segundo lugar, expandir el alcance de su Programa de Recompensas de Seguridad de Google Play (GPSRP), para incluir todas las aplicaciones de Android de Google Play Store con más de 100 millones o más instalaciones, ayudando a los desarrolladores de apps afectados a corregir vulnerabilidades a través de divulgaciones responsables.
Obtén recompensas por encontrar aplicaciones abusivas para Android y Chrome
El programa de recompensas por errores de abuso de datos tiene como objetivo evitar escándalos como Cambridge Analytica que golpean a Facebook con multas de 5 mil millones de dólares, por no identificar las situaciones en que los datos del usuario se usan o venden inesperadamente o se reutilizan ilegítimamente sin el consentimiento del usuario.
«Si se identifica un abuso de datos relacionado con una aplicación o extensión de Chrome, esa aplicación o extensión se eliminará de Google Play o Google Chrome Web Store. En el caso de un desarrollador de aplicaciones que abusa del acceso a los ámbitos restringidos de Gmail, se eliminará su acceso a la API», dice Google.
Google no ha anunciado ninguna tabla de recompensas para el programa DDPRP, pero se aseguró que un solo informe podría generar una recompensa de hasta 50 mil dólares dependiendo del impacto.
Por otro lado, el programa GPSRP, que se lanzó en 2017, se limitó hasta hoy a solo informar vulnerabilidades en aplicaciones populares de Android en Google Play store.
Con el último anuncio, Google ahora trabajará con los desarrolladores de cientos de miles de apps de Android, cada una con al menos 100 millones de descargas, ayudándolas a recibir informes de vulnerabilidad e instrucciones sobre cómo parchearlos en sus consolas Play.
«Estas aplicaciones ahora son elegibles para recompensas, incluso si los desarrolladores de la aplicación no tienen su propia divulgación de vulnerabilidad o programa de recompensa por errores. Si los desarrolladores ya tienen sus propios programas, los investigadores pueden obtener recompensas directamente de ellos además de las recompensas de Google», agregó la compañía.
Como parte del programa de Mejora de la Seguridad de la Aplicación (ASI) de Google, esta iniciativa existente ya ha ayudado a más de 300 mil desarrolladores a arreglar más de 1 millón de aplicaciones en Google Play Store.
Ahora, las dos medidas permitirán a Google evitar que las apps maliciosas de Android y las extensiones de Chrome abusen de los datos de sus usuarios, así como reforzar la seguridad de las aplicaciones distribuidas a través de Play Store.