Google ha annunciato l’avvio del programma Google Play Security Reward Program, con l’obiettivo di scovare e risolvere i problemi di sicurezza delle applicazioni più diffuse sul Google Play Store. In palio sono stati messi fino a 1000$ per ogni bug segnalato.
Google vuole migliorare la situazione della sicurezza nel mondo Android e ha avviato una collaborazione con alcuni sviluppatori per individuare e rimuovere eventuali vulnerabilità che permettono di eseguire codice da remoto o di portare avanti attacchi di phishing, o ancora per costringere applicazioni bancarie a portare a termine trasferimenti non autorizzati.
Il programma è attualmente attivo solo per un numero ristretto di sviluppatori che hanno stretto un accordo con Google per dedicare maggiori risorse all’aspetto della sicurezza. Google afferma che “solo gli sviluppatori che hanno preso l’impegno di sistemare i bug che vengono loro segnalati sono stati invitati a far parte del programma. Sarà lo sviluppatore ad assumersi la responsabilità di rispondere [alle segnalazioni] e di sistemare i problemi in tempi ridotti.”
Una volta che un hacker ha scovato una vulnerabilità, deve produrre una o più proof of concept per dimostrare come l’attacco può essere portato a termine e segnalare il problema allo sviluppatore. Una volta che ciò è stato fatto, lo sviluppatore dovrà lavorare con l’hacker per risolvere il problema e a quel punto Google elargirà la ricompensa.
Le versioni di Android coinvolte partono dalla 4.4 KitKat per arrivare fino all’odierna 8.1 Oreo. Sono incluse anche tutte le segnalazioni che riguardano più direttamente i servizi Google Play. Come segnala HotHardware, al momento il programma include – tra gli altri – Alibaba, Dropbox, Line, Snapchat e Tinder. Le condizioni complete sono disponibili sul sito di Hacker One, partner di Google per questa iniziativa.
