Onlangs bevestigde Google de stopzetting van zijn Google Play Security Reward Program (GPSRP). Dit betekent dat onderzoekers geen betalingen meer ontvangen voor het vinden van kwetsbaarheden in Google Play Store-apps. Nu heeft de gigant uit Mountain View de reden achter het besluit onthuld.
Google officieel bericht dat er niet langer betaald hoeft te worden om kwetsbaarheden in de Play Store te vinden
Volgens een woordvoerder van Google heeft de GPSRP het bedrijf na 7 jaar geholpen om betere automatische regels op te stellen voor het detecteren van kwetsbaarheden in de beveiligingssystemen van de Play Store. Veel van de kwetsbaarheden die in aanmerking zouden komen voor een geldelijke beloning, worden dus al automatisch gedetecteerd.
In de verklaring is het bedrijf er allereerst trots op dat het het programma in de eerste plaats heeft opgezet: “We zijn de community voor beveiligingsonderzoek die Android-gebruikers helpt beschermen enorm dankbaar. Het Google Play Security Reward Program (GPSRP) was het eerste programma in zijn soort dat een bonusbeloning uitkeerde naast alle toepasselijke beloningsprogramma’s voor kwetsbaarheid van ontwikkelaars. GPSRP werd gelanceerd om app-ontwikkelaars aan te moedigen hun eigen beveiligingsprogramma’s op te zetten en heeft zijn doel na 7 jaar bereikt.”
Vervolgens zegt de woordvoerder van Google over de stopzetting van het programma het volgende: “Als gevolg van onze vooruitgang in Android-beveiligingsfuncties en OS-verharding, hebben we minder bruikbare kwetsbaarheden gezien die door de onderzoeksgemeenschap aan het GPSRP-programma zijn gemeld. Vanwege deze afname in bruikbare kwetsbaarheden die zijn gemeld, ronden we het programma af.”
Dit vertaalt zich in Google Play-beveiligingssystemen die nu veel beter in staat zijn om zelfstandig kwetsbaarheden te detecteren. Dit is mogelijk dankzij jarenlange gegevensverzameling en -verwerking. Hoewel onderzoekers geen betalingen meer ontvangen voor het vinden van kwetsbaarheden op Google Play, moedigt het bedrijf hen aan om “rechtstreeks samen te werken met applicatieontwikkelaars als ze potentiĆ«le beveiligingskwetsbaarheden ontdekken.”
Programma nog steeds actief voor door AI aangestuurde services en platforms van Google
Hoewel Google het “bug bounty”-programma voor Play Store-apps stopzet, zijn er nog steeds gebieden waar het actief is. Bijvoorbeeld in zijn AI-aangedreven diensten, een segment dat een paar jaar geleden plotseling explodeerde. Dat laatste heeft nog veel werk voor de boeg en potentiĆ«le beloningen voor onderzoekers om te winnen. In het geval van Google Play is het normaal dat het platform zo’n staat van volwassenheid heeft bereikt. Er zit immers al veel tijd, feedback en werk achter.