Google решила закрыть свою программу вознаграждений за обнаружение уязвимостей в Android-приложениях, известную как Google Play Security Reward Program (GPSRP). Эта инициатива, запущенная в октябре 2017 года, позволяла независимым исследователям получать денежные призы за выявление серьёзных багов в популярных приложениях Google Play.
Изначально GPSRP была нацелена на повышение безопасности экосистемы Android. Программа привлекала узкий круг специалистов по кибербезопасности, вознаграждая их за обнаружение особо опасных уязвимостей. В первую очередь речь шла о багах, позволяющих удалённо выполнять код или похищать конфиденциальные данные пользователей.
На старте GPSRP предлагала максимальные выплаты в $5000 за удалённое выполнение кода и $1000 за кражу данных. Однако со временем масштабы программы росли, охватывая всё больше приложений. В их число вошли такие гиганты, как Airbnb, Amazon, Spotify и TikTok.
Переломный момент наступил в августе 2019 года. Тогда Google значительно расширила GPSRP, включив в программу все приложения с более чем 100 миллионами установок. Одновременно были увеличены суммы вознаграждений: до $20 000 за уязвимости, связанные с удалённым выполнением кода, и до $3000 за баги, ведущие к краже данных или несанкционированному доступу к защищённым компонентам приложений.
Собранные в ходе программы данные не пропали даром. На их основе Google создала систему автоматизированных проверок, которая сканировала весь каталог Google Play на предмет аналогичных уязвимостей. Результаты впечатляли: в 2019 году эти проверки помогли более чем 300 000 разработчиков устранить уязвимости в свыше 1 млн приложений.
Несмотря на очевидные успехи, Google всё же решила свернуть GPSRP. В письме разработчикам компания объяснила это решение существенным сокращением количества выявляемых уязвимостей за последние годы. По мнению Google, это говорит об «общем усилении мер безопасности Android и повышении защищённости операционной системы».
«Мы видим, что уровень безопасности Android в целом вырос, а его функциональность укрепилась. Как следствие, число выявляемых уязвимостей снизилось, — сообщает команда Android Security. — Поэтому мы приняли непростое решение завершить программу GPSRP 31 августа».
При этом Google заверила, что все отчёты, поданные до указанной даты, будут тщательно обработаны. Окончательные решения по вознаграждениям обещают принять до 30 сентября.
Завершая программу, Google не забыла поблагодарить всех специалистов, внесших свой вклад в повышение безопасности Android-экосистемы. Компания также пригласила исследователей продолжить сотрудничество в рамках других инициатив, таких как Android и Google Devices Security Reward Program.