Google ha annunciato che porrà fine al Google Play Security Reward Program, un'iniziativa di bug bounty che per quasi sette anni ha permesso a ricercatori e sviluppatori di identificare e risolvere le vulnerabilità nelle app Android più diffuse.
Lanciato nell'ottobre 2017, il programma ha attirato i ricercatori di sicurezza a scoprire e divulgare le falle riscontrate nelle app distribuite attraverso il Google Play Store.
Nonostante il successo del programma, Google ha deciso di chiuderlo a causa di una diminuzione del numero di vulnerabilità segnalate e perseguibili.
Cos'è il Google Play Security Reward Program
Inizialmente, il programma si concentrava su un gruppo selezionato di sviluppatori e app, offrendo ricompense fino a 5.000 dollari per le vulnerabilità più critiche come l'esecuzione di codice remoto. Alla fine, nel 2019, il campo di applicazione si è allargato per includere tutte le app distribuite sulla piattaforma con oltre 100 milioni di download, con pagamenti che hanno raggiunto i 20.000 dollari.
In un'e-mail visionata da Android Authority, l'Android Security Team ha scritto: "Come risultato dell'aumento generale della sicurezza del sistema operativo Android e degli sforzi di hardening delle funzionalità, abbiamo visto un minor numero di vulnerabilità perseguibili segnalate dalla comunità di ricerca".
L'e-mail continua confermando che il programma terminerà il 31 agosto 2024 e che le segnalazioni presentate fino a quel momento saranno esaminate entro il 15 settembre.
Inoltre, lo scorso anno finanziario Google ha bloccato 2,28 milioni di app che violano la privacy e ha bandito 333.000 account di sviluppatori dannosi, oltre ad altri miglioramenti del Play Store.
Tuttavia, con la fine del Google Play Security Reward Program, i ricercatori potrebbero essere meno motivati a segnalare i problemi, lasciando potenzialmente alcune app più esposte e sollevando preoccupazioni su future vulnerabilità e sulla sicurezza della piattaforma.
