O Google avisou desenvolvedores que vai encerrar o Google Play Security Program (GPSRP) em 31 de agosto. O programa oferecia recompensas para quem encontrasse bugs e brechas de segurança em aplicativos para Android.
O aviso para os desenvolvedores participantes do programa veio num e-mail enviado pelo Google. Um deles era Sean Pesce, que publicou uma captura de tela do e-mail no X (antigo Twitter).
O motivo dado pelo Google para encerrar o programa foi a diminuição no número de vulnerabilidades acionáveis relatadas. A big tech atribui esse sucesso ao “aumento geral na postura de segurança do sistema operacional Android e aos esforços de fortalecimento de recursos”.
Programa de recompensas do Google pagou desenvolvedores por quase dez anos
O site Android Authority publicou um retrospecto do programa de recompensas do Google na manhã desta segunda-feira (19). A empresa anunciou o Google Play Security Reward Program em outubro de 2017. De lá para cá, o programa ampliou seu escopo.
A princípio, o programa era uma forma de incentivar pesquisadores de segurança a encontrar e divulgar de maneira responsável vulnerabilidades em aplicativos para Android populares na Play Store.
Quando o GPSRP foi lançado, era limitado a um número seleto de desenvolvedores. Eles só podiam enviar vulnerabilidades elegíveis que afetassem aplicativos de um pequeno número de desenvolvedores participantes.
Ao longo dos anos, o escopo do GPSRP expandiu. Assim, o programa passou a cobrir desenvolvedores de alguns dos principais aplicativos disponibilziados para Android. Por exemplo: Airbnb, Amazon, Facebook, Paypal, Spotify, TikTok e Tinder.
Histórico de recompensas
Em agosto de 2019, o Google abriu o GPSRP para cobrir todos os aplicativos na Play Store com pelo menos 100 milhões de instalações, mesmo que não tivessem seu próprio programa de divulgação de vulnerabilidades ou de recompensa por bugs.
Em julho de 2019, as recompensas aumentaram para até US$ 20 mil (aproximadamente R$ 110 mil) para bugs de execução remota de código. E US$ 3 mil (R$ 16 mil) para bugs que levavam ao roubo de dados privados ou acesso a componentes protegidos do aplicativo.
Em setembro de 2018, o Google informou que desenvolvedores haviam relatado mais de 30 vulnerabilidades por meio do programa. No total, a empresa pagou mais de US$ 100 mil (R$ 545 mil) em recompensas naquele ano. No seguinte, a cifra subiu para mais de US$ 265 mil (R$ 1,4 milhão).
“O encerramento deste programa é um resultado misto para os usuários. Por um lado, significa que os aplicativos populares em grande parte se organizaram, mas, por outro lado, significa que alguns pesquisadores de segurança não terão o incentivo para divulgar responsavelmente quaisquer futuras vulnerabilidades”, publicou o Android Authority.
Olhar Digital