Agora o Google pagará a quem denunciar aplicativos que abusam dos dados dos usuários

Na sequência de escândalos de abuso de dados e várias instâncias de aplicativos de malware descobertos na Play Store, o Google hoje expandiu seu programa de recompensas de bugs para reforçar a segurança de aplicativos Android e extensões do Chrome distribuídos por sua plataforma.

A expansão no programa de recompensa de vulnerabilidades do Google inclui principalmente dois anúncios principais.

Primeiro, um novo programa, apelidado de ‘Programa de recompensa de proteção de dados para desenvolvedores’ (DDPRP), em que o Google recompensará pesquisadores e hackers de segurança que encontrarem “evidências verificáveis ​​e inequívocas” de problemas de abuso de dados em aplicativos Android, projetos OAuth e extensões do Chrome.

Segundo, expandir o escopo do seu programa de recompensas de segurança do Google Play (GPSRP) para incluir todos os aplicativos Android da Google Play Store com mais de 100 milhões ou mais de instalações, ajudando os desenvolvedores de aplicativos afetados a corrigir vulnerabilidades por meio de divulgações responsáveis. ‘

Obtenha recompensa para encontrar aplicativos Android e Chrome que abusam de dados

programa de recompensas por bugs de abuso de dados tem como objetivo evitar escândalos como o Cambridge Analytica que atingem o Facebook com US $ 5 bilhões em multas por não identificar situações em que os dados do usuário estão sendo usados ​​ou vendidos inesperadamente ou reaproveitados de forma ilegítima sem o consentimento do usuário.

“Se o abuso de dados for identificado relacionado a um aplicativo ou extensão do Chrome, esse aplicativo ou extensão será removido do Google Play ou da Google Chrome Web Store”, disse o Google em seu blog publicado hoje.

 

“No caso de um desenvolvedor de aplicativos abusar do acesso aos escopos restritos do Gmail, o acesso à API será removido.”

O Google ainda não anunciou nenhuma tabela de recompensas para o programa DDPRP, mas garantiu que um único relatório pudesse render até US $ 50.000 em recompensa, dependendo do impacto.

Bug Bounty em todos os aplicativos Android com mais de 100 milhões de downloads

Por outro lado, o Programa GPSRP, que foi lançado inicialmente em 2017, até hoje limitava-se apenas a relatar vulnerabilidades em aplicativos Android populares na Google Play Store.

Com o anúncio mais recente, o Google agora trabalha com desenvolvedores de centenas de milhares de aplicativos Android, cada um com pelo menos 100 milhões de downloads, ajudando-os a receber relatórios de vulnerabilidade e instruções sobre como corrigi-los em seus Play Consoles.

“Esses aplicativos agora são elegíveis para recompensas, mesmo se os desenvolvedores do aplicativo não tiverem seu próprio programa de divulgação de vulnerabilidades ou de recompensas por bugs”, diz o Google.

 

“Se os desenvolvedores já tiverem seus próprios programas, os pesquisadores poderão coletar recompensas diretamente deles, além das recompensas do Google”.

Parte do programa App Security Improvement (ASI) do Google, essa iniciativa existente já ajudou mais de 300.000 desenvolvedores a consertar mais de 1.000.000 de aplicativos na Google Play Store.

Felizmente, ambas as medidas agora permitirão que o Google impeça que aplicativos maliciosos do Android e as extensões do Chrome abusem dos dados de seus usuários, além de reforçar a segurança dos aplicativos distribuídos pela Play Store.