Desde siempre, Google tuvo implementado un mecanismo mediante el cual paga por la detección de vulnerabilidades en sus diferentes plataformas. Ahora la compañía decidió ampliar el concepto para abarcar las aplicaciones de terceros de la Google Play. En la primera fase, no entrarán todas las apps en este programa.
Muchas empresas tecnológicas ofrecen recompensas financieras más o menos generosas a quienes logren identificar agujeros de seguridad en sus productos. Microsoft y Google son sólo dos de estos ejemplos.
La cantidad de dinero que suelen pagar varía en función de la gravedad de las vulnerabilidades descubiertas, pero lo más importante a tener en cuenta es que nadie no ofrece dinero por la identificación de las vulnerabilidades en los productos de la competencia.
No obstante, Google hizo los días pasados un anuncio sin precedentes en la industria con el lanzamiento del programa Google Play Security Reward Program (Programa de recompensas de seguridad de Google Play). Se trata de una excelente noticia para los desarrolladores de aplicaciones para Android que no tienen el poder económico de estudiar en detalle la seguridad de sus apps.
De este modo, Google asumirá unos costes adicionales, y los usuarios de Android tendrán mayor confianza en las apps de la Play Store. Al mismo tiempo, sus creadores se quedarán más tranquilos al saber que no publicaron apps con vulnerabilidades en la mayor tienda de aplicaciones para móviles.
Google colabora con HackerOne para el nuevo programa de recompensas
En la primera fase, el programa de detección de vulnerabilidades sólo se limitará a algunas de las apps más populares de Google Play, aunque posteriormente se irán cubriendo las aplicaciones menos conocidas.
Para materializar este proyecto, Google colaboró con una plataforma independiente de recompensas conocida como HackerOne. Sin embargo, no todo el esfuerzo estará en manos de HackerOne y del gigante de Mountain View. Los desarrolladores de apps Android tendrán que apuntar manualmente sus aplicaciones en el Google Play Security Reward Program. Y sólo después, las aplicaciones podrán volverse más seguras.
En definitiva, el objetivo de toda esta iniciativa no es otro que el reforzar toda la seguridad del ecosistema de las aplicaciones de Google Play mediante un esfuerzo financiero adicional por parte de Google.
En el pasado, Google solía pagar cantidades de dinero que comenzaban por los 200 dólares y alcanzaban los 200.000 dólares a quienes lograban identificar vulnerabilidades descubiertas en el sistema operativo Android. La cantidad normalmente depende de la gravedad de las vulnerabilidades encontradas.
Para las vulnerabilidades de las aplicaciones de Google Play, la suma de dinero probablemente se limitará a cifras de varios miles de dólares.
Continúar leyendo...