Google ha annunciato la chiusura del suo programma di ricompense per la sicurezza di Google Play Store (GPSRP), un'iniziativa lanciata nel 2017 per incentivare i ricercatori di sicurezza a individuare e segnalare vulnerabilità nelle app Android più popolari.
Il programma, che terminerà il 31 agosto, ha avuto un ruolo cruciale nel migliorare la sicurezza dell'ecosistema Android. Inizialmente limitato a poche app selezionate, il GPSRP si è espanso nel tempo fino a coprire tutte le applicazioni con oltre 100 milioni di installazioni, offrendo ricompense fino a 20.000 dollari per le vulnerabilità più gravi. Ecco un
Secondo Google, la decisione di chiudere il programma è dovuta a una significativa diminuzione delle vulnerabilità segnalate, un risultato attribuito al miglioramento generale della sicurezza su Android e agli sforzi di rafforzamento delle funzionalità. Ecco un estratto della mail inviata agli sviluppatori.
Come risultato dell'aumento generale del livello di sicurezza del sistema operativo Android e degli sforzi di miglioramento delle funzionalità, abbiamo riscontrato un minor numero di vulnerabilità attuabili segnalate dalla comunità di ricerca. A causa di questa diminuzione delle vulnerabilità segnalate, stiamo chiudendo il programma GPSRP. Il programma GPSRP terminerà il 31 agosto. Tutte le segnalazioni presentate prima di tale data saranno valutate entro il 15 settembre. Le decisioni finali sui premi saranno prese prima del 30 settembre, quando il programma sarà ufficialmente interrotto. L'elaborazione dei pagamenti finali potrebbe richiedere alcune settimane.
Durante il suo periodo di attività, il GPSRP ha portato a risultati notevoli. Nel 2019, Google ha dichiarato che i controlli automatizzati sviluppati grazie ai dati raccolti dal programma hanno aiutato oltre 300.000 sviluppatori a correggere più di 1.000.000 di app su Google Play Store.
Nonostante i successi, la chiusura del programma solleva alcune preoccupazioni. Mentre da un lato dimostra che le app popolari hanno migliorato significativamente la loro sicurezza, dall'altro potrebbe ridurre l'incentivo per i ricercatori a segnalare responsabilmente future vulnerabilità, soprattutto per le app i cui sviluppatori non gestiscono programmi di bug bounty propri.
Google ha assicurato che tutte le segnalazioni inviate prima della chiusura del programma saranno esaminate e gestite, con le decisioni finali sulle ricompense previste entro il 30 settembre. L'azienda ha inoltre incoraggiato i ricercatori a continuare la collaborazione attraverso altri programmi, come l'Android and Google Devices Security Reward Program.