Google heeft besloten niet te betalen voor kwetsbaarheden die zijn ontdekt in Play Store-apps en -games. De zoekgigant sluit in feite zijn bug bounty-programma.
Google betaalt niet voor kwetsbaarheden nu het Play Security Reward Program wordt stopgezet
Google lanceerde het Google Play Security Reward Program (GPSRP) in oktober 2017. Het is in feite een bug bounty-programma. Verschillende bedrijven zoeken hulp bij externe personen en instanties om kwetsbaarheden en mazen in software te ontdekken, en Google is daarop geen uitzondering.
Google heeft beveiligingszoekers succesvol gestimuleerd om kwetsbaarheden te vinden en bekend te maken. De GPSRP was met name bedoeld voor Android-apps die via de Google Play Store werden gedistribueerd.
Google beëindigt het Google Play Security Reward Program op 31 augustus omdat er minder kwetsbaarheden worden gemeld. foto.twitter.com/4ohrvT04m2
— choqao (@choqao) 19 augustus 2024
Het is interessant om op te merken dat Google GPSRP aanvankelijk beperkte tot een select aantal ontwikkelaars. Zij moesten geschikte kwetsbaarheden melden die een klein aantal applicaties aantastten. Bovendien werden de producten van slechts een paar app-ontwikkelaars onder de loep genomen.
Google heeft het bug bounty-programma uiteindelijk uitgebreid met verschillende apps van Amazon, Snapchat, Tesla, TikTok en meer. De zoekgigant heeft echter naar verluidt besloten het programma te beëindigen. Als gevolg hiervan krijgen beveiligingsonderzoekers geen geldelijke beloningen.
Worden Android-apps nu blootgesteld aan onontdekte veiligheidsrisico’s?
Google stopt met betalen voor beveiligingslekken in Play Store-apps. Dat betekent echter niet dat Android-apps nu worden blootgesteld aan beveiligingsrisico’s.
Google beweert dat het nu vertrouwen heeft in zijn veiligheidsmaatregelen. De zoekgigant gaf aan dat het Google Play Security Reward Program bedoeld was om de Play Store een veiligere bestemming te maken voor Android-apps.
Google heeft verklaard dat het veel kwetsbaarheidsgegevens van het programma heeft verzameld. Het gebruikte de kennis om geautomatiseerde controles te maken die alle apps die beschikbaar zijn in Google Play scanden op vergelijkbare kwetsbaarheden.
Door het uitvoeren van GPSRP zijn er veel minder beveiligingslekken die de geautomatiseerde controles en verdedigingen van Google proberen te omzeilen. Daarom heeft het bedrijf besloten het programma af te bouwen.
Google stopt met zijn Play Store bug bounty-programma, wat sterk suggereert dat de Android-app store nu grotendeels beschermd is tegen kwetsbaarheden. Beveiligingsonderzoekers hebben echter nu geen reden meer om nieuwe kwetsbaarheden te melden, omdat Google hen niet rijkelijk zal betalen. Overigens kunnen onderzoekers nog steeds geld verdienen met het Vulnerability Rewards Program, dat nu Generative Artificial Intelligence-platforms dekt.
