En Google siguen buscando formas de mejorar aún más la seguridad y la privacidad de sus productos y los ecosistemas que admiten. Es por esto que han decidido ampliar los esfuerzos con algunos grandes cambios en el Programa de Recompensas de Seguridad de Google Play (GPSRP) y lanzar el nuevo Programa de Recompensas de Protección de Datos para Desarrolladores (DDPRP).
Se ha informado que en la compañía entienden la fortaleza de las plataformas y los ecosistemas abiertos y que las mejores ideas no siempre provienen del interior.
“Es por esta razón que ofrecemos una amplia gama de programas de recompensa por vulnerabilidad, alentando a la comunidad a ayudarnos a mejorar la seguridad para todos”.
Adam Bacchus, Sebastian Porst y Patrick Mutchler, del equipo de Seguridad y Privacidad de Android, han anunciado que la compañía ha aumentado el alcance de GPSRP para incluir todas las aplicaciones en Google Play con 100 millones o más de instalaciones.
Han señalado que estas aplicaciones ahora son elegibles para recompensas, incluso si los desarrolladores de la aplicación no tienen su propia divulgación de vulnerabilidad o programa de recompensa por errores.
Google, en estos escenarios, ayuda a revelar de manera responsable las vulnerabilidades identificadas al desarrollador de la aplicación afectada. “Esto abre la puerta para que los investigadores de seguridad ayuden a cientos de organizaciones a identificar y corregir vulnerabilidades en sus aplicaciones”.
Los investigadores, en caso de que los desarrolladores ya tengan sus propios programas, pueden obtener recompensas directamente de ellos además de las recompensas de Google.
“Alentamos a los desarrolladores de aplicaciones a que comiencen su propio programa de divulgación de vulnerabilidades o recompensas de errores para trabajar directamente con la comunidad de investigadores de seguridad”.
Datos de vulnerabilidad de GPSRP
Se ha precisado que los datos de vulnerabilidad del GPSRP ayudan a Google a crear controles automáticos que analizan todas las aplicaciones disponibles en Google Play en busca de vulnerabilidades similares.
De esta manera, los desarrolladores de aplicaciones afectados reciben una notificación a través de Play Console como parte del programa de Mejora de la Seguridad de la Aplicación (ASI), que proporciona información sobre la vulnerabilidad y cómo solucionarla.
ASI, durante su vida útil, ha ayudado a más de 300 mil desarrolladores a arreglar más de un millón de aplicaciones en Google Play. El programa, sólo en 2018, ayudó a más de 30 mil desarrolladores a reparar más de 75 mil aplicaciones. El efecto posterior se ha traducido en que esas 75 mil aplicaciones vulnerables no se distribuyen a los usuarios hasta que se solucione el problema.
“Hasta la fecha, el GPSRP ha pagado más de 265 mil dólares en recompensas. Los aumentos recientes de alcance y recompensa han resultado en 75 mil 500 dólares en recompensas, sólo en julio y agosto”.
La compañía del buscador más popular, con estos cambios, ha querido anticiparse a una mayor participación de la comunidad de investigación de seguridad para impulsar el éxito del programa.
DDPRP en colaboración con HackerOne
Desde Google también se ha presentado el Programa de Recompensas de Protección de Datos para Desarrolladores, explicando que se trata de una iniciativa de recompensas en colaboración con HackerOne.
De acuerdo a la publicación oficial, el DDPRP está destinado a identificar y mitigar problemas de abuso de datos en aplicaciones de Android, proyectos OAuth y extensiones de Chrome.
“Se reconocen las contribuciones de individuos que ayuden a las aplicaciones de informes que están violando Google Play, Google API, o las políticas del programa de extensiones Google Chrome Web Store”.
El Programa de Recompensas de Protección de Datos para Desarrolladores, según los portavoces del equipo de Seguridad y Privacidad de Android, tiene como objetivo recompensar a cualquiera que pueda proporcionar evidencia verificable e inequívoca de abuso de datos, en un modelo similar a los otros programas de recompensa de vulnerabilidad de Google.
El DDPRP, en particular, tiene como objetivo identificar situaciones donde los datos del usuario se usan o venden inesperadamente o se reutilizan de forma ilegítima sin el consentimiento del usuario.
“Si se identifica un abuso de datos relacionado con una aplicación o extensión de Chrome, esa aplicación o extensión se eliminará de Google Play o Google Chrome Web Store”.
Si se trata de un desarrollador de aplicaciones que abusa del acceso a los ámbitos restringidos de Gmail, la plataforma le eliminará su acceso a la API. “Si bien no hay una tabla de recompensas o una recompensa máxima en este momento, dependiendo del impacto, un solo informe podría generar una recompensa de 50 mil dólares”.
En el equipo de Seguridad y Privacidad de Android, a medida que el año 2019 continúa, esperan ver todo lo que muchos investigadores encontrarán a continuación. Además, han aprovechado para agradecer a toda la comunidad por contribuir a mantener seguras las plataformas y ecosistemas.