Google zet bugbounty-programma stop want Play Store is veilig genoeg
In heel wat software zitten veiligheidslekken die eventueel misbruikt zouden kunnen worden door hackers. Veiligheidsonderzoekers doorspitten apps en de code daarachter, op zoek naar die kwetsbaarheden. Indien zij de kwetsbaarheid eerst vinden en rapporteren, kan die misschien gedicht worden voor er misbruik van gemaakt wordt. Veiligheidsonderzoekers investeren heel wat tijd in de zoektocht naar die lekken. Om hen tegemoet te komen bieden heel wat platformen beloningen aan wie de lekken rapporteert. Google doet dat voor de Play Store al sinds 2017, met het Google Play Security Rewards Program (GPSRP). Aanvankelijk was dat programma alleen beschikbaar voor een aantal ontwikkelaars, en konden zij aan de slag met bepaalde, veelgebruikte apps. Onder meer de Android-apps voor Airbnb, AliExpress, Amazon, Facebook, Snapchat, Spotify, Telegram, Tesla, TikTok enzoverder werden onderzocht onder het GPSRP.
Tot 20.000 dollar
Vinden onderzoekers een kwetsbaarheid in een van die apps? Dan krijgen ze daar een beloning voor. In 2017 lag de beloning daarvoor op maximaal 5.000 dollar, voor wie de meest kwetsbare veiligheidslekken vond. In 2019 trok Google het GPSRP verder open, en mochten alle apps met meer dan 100 miljoen installaties onderzocht worden. Kort daarna werden ook de beloningen verhoogd. Wie veiligheidslekken vindt waarvoor geen interactie vereist is, kan daar sindsdien 20.000 dollar mee verdienen. Wie een zogenaamde man-in-the-middle-kwetsbaarheid opspoort, kan daar 500 tot 1000 dollar mee verdienen.
Al die tijd verzamelde Google gegevens uit het programma. Dat stelt het bedrijf in staat om geautomatiseerde checks uit te voeren op nieuwe apps in de Play Store. Komt daar een kwetsbaarheid in voor die ook in een andere app zat en ontdekt werd? Dan wijst de scan van Google dat uit, nog voor gebruikers de app te zien krijgen. Met andere woorden: Android-apps worden steeds veiliger.
Veilig genoeg
Android-apps zijn inmiddels zo veilig geworden, dat Google het veiligheidsprogramma niet meer nodig vindt. Dat laat het bedrijf weten in een e-mail aan ontwikkelaars en veiligheidsonderzoekers. Na 31 augustus accepteert het programma geen bugmeldingen meer. Alle meldingen die voor die datum verstuurd worden, zullen voor het einde van september afgehandeld worden, aldus Google.
Of dat een goede zaak is voor Android-gebruikers is maar de vraag. Langs de ene kant indiceert Google dat de veelgebruikte Android-apps veiliger zijn geworden. Of dat ook zo zal blijven is echter de vraag: nieuwe veiligheidslekken kunnen altijd de kop opsteken, en voor onderzoekers is het nu minder interessant geworden om die op te sporen.
Heel wat bedrijven en app-ontwikkelaars hebben echter zelf bugbounty-programma’s lopen, waar kwetsbaarheden gerapporteerd kunnen worden in ruil voor een beloning. Op die manier zorgen ontwikkelaars er zelf voor dat hun apps veilig zijn en blijven. Dat beleid verschilt echter van ontwikkelaar tot ontwikkelaar, waardoor sommige apps ongetwijfeld minder aandacht zullen krijgen van veiligheidsonderzoekers.