El programa de premios de errores de Play Store se expande a todas las aplicaciones con 100 millones de descargas

Expande el regalo de los errores en Google Play

29 agosto 2019

Publicado por Adam Bacchus, Sebastian Porst y Patrick Mutchler – Seguridad y privacidad de Android

  

Estamos constantemente buscando maneras de mejorar a√ļn m√°s la seguridad y la privacidad de nuestros productos y los ecosistemas que soportan. En Google, entendemos el poder de las plataformas y ecosistemas abiertos, y que las mejores ideas no siempre provienen del interior. Por esta raz√≥n, ofrecemos varios programas de recompensa por vulnerabilidad, alentando a las comunidades a ayudarnos a mejorar la seguridad para todos. Hoy, ampliamos estos esfuerzos con algunos cambios importantes en el Programa de Premios de Seguridad de Google Play (GPSRP), as√≠ como con el lanzamiento del nuevo Programa de Protecci√≥n de Datos de Desarrolladores (DDPRP).

El alcance del programa de recompensas de seguridad de Google Play aumenta

Estamos aumentando la cobertura de GPSRP para incluir todas las aplicaciones en Google Play con 100 millones o más de instalaciones. Esta aplicación ahora es elegible para premios, incluso si el desarrollador de la aplicación no tiene la revelación de vulnerabilidades o su propio programa de premios de errores. En este escenario, Google ayuda a revelar vulnerabilidades identificadas de manera responsable a los desarrolladores de aplicaciones afectadas. Esto abre la puerta para que los investigadores de seguridad ayuden a cientos de organizaciones a identificar y corregir vulnerabilidades en sus aplicaciones. Si el desarrollador ya tiene su propio programa, los investigadores pueden recolectar premios directamente de ellos por encima de los premios de Google. Alentamos a los desarrolladores de aplicaciones a que comiencen a revelar sus propias vulnerabilidades o programas de premios de errores para trabajar directamente con la comunidad de investigación de seguridad.

Los datos de vulnerabilidad de GPSRP ayudan a Google a realizar controles autom√°ticos que analizan todas las aplicaciones disponibles en Google Play en busca de vulnerabilidades similares. Los desarrolladores de aplicaciones afectados son notificados a trav√©s de Play Console como parte del programa Application Security Improvement (ASI), que proporciona informaci√≥n sobre vulnerabilidades y c√≥mo solucionarlos. Durante su vida √ļtil, ASI ha ayudado a m√°s de 300,000 desarrolladores a mejorar m√°s de 1.000,000 aplicaciones en Google Play. Solo en 2018, el programa ayudar√° a m√°s de 30,000 desarrolladores a mejorar m√°s de 75,000 aplicaciones. El efecto posterior significa que 75,000 aplicaciones vulnerables no se distribuyen a los usuarios hasta que se solucione el problema.

Hasta la fecha, GPSRP ha pagado más de $ 265,000 en premios. La cobertura reciente y los aumentos de premios han dado como resultado premios de $ 75,500 durante todo julio y agosto solamente. Con estos cambios, anticipamos una mayor participación de la comunidad de investigación de seguridad para apoyar el éxito del programa.

Presentación del programa de recompensa de datos de desarrollador

Hoy, también lanzamos el Programa de Premio a la Protección de Datos de Desarrolladores. DDPRP es un programa de recompensas, en colaboración con HackerOne, destinado a identificar y reducir los problemas de uso indebido de datos en aplicaciones de Android, proyectos OAuth y extensiones Chrome. Reconoce las contribuciones individuales que ayudan a informar aplicaciones que violan las políticas del programa Google Play, las API de Google o las extensiones de Google Chrome Tienda web.

Este programa tiene como objetivo recompensar a cualquiera que pueda proporcionar evidencia clara e inequívoca del mal uso de los datos, en el mismo modelo que el otro programa de recompensas de vulnerabilidad de Google. Específicamente, este programa tiene como objetivo identificar situaciones en las que los datos del usuario se usan o venden de forma inesperada, o se reutilizan de manera no autorizada sin el consentimiento del usuario. Si el mal uso de los datos se identifica como relacionado con la aplicación o extensión Chrome, la aplicación o extensión se eliminará de Google Play o Google Chrome Tienda web. Si los desarrolladores de aplicaciones abusan del acceso al alcance limitado de Gmail, se eliminará su acceso a la API. Aunque no hay una tabla de premios o un premio máximo en este momento, dependiendo del impacto, un informe puede generar una ganancia de $ 50,000.

A medida que el 2019 contin√ļa, esperamos ver qu√© encuentran los investigadores a continuaci√≥n. Gracias a toda la comunidad por contribuir a mantener la seguridad de nuestra plataforma y ecosistema. Felices insectos cazadores!