Google vai pagar quem hackear qualquer aplicativo da Play Store com mais de 100 milhões de downloads
O Google anunciou uma expansão do programa que paga pesquisadores por informações sobre vulnerabilidades: agora a iniciativa passa a incluir todos os aplicativos cadastrados na Play Store que alcançaram a marca de 100 milhões de instalações.
As brechas serão repassadas aos desenvolvedores dos aplicativos e, caso o problema não seja solucionado, o app pode ser removido da loja.
O programa de recompensas do Google Play foi lançado em 2017 e contemplava apenas aplicativos específicos. Com a novidade, qualquer app fará parte do programa assim que ultrapassar a marca de 100 milhões de downloads.
Além de proteger diretamente os usuários de aplicativos populares que não dispõem de programas de recompensa próprios, o Google explicou que também incluirá os detalhes das vulnerabilidades relatadas em um banco de dados utilizado no programa de Aprimoramento de Segurança de Apps (App Security Improvement, ou ASI, na sigla em inglês). Isso permite que outros aplicativos da Play Store sejam examinados pela presença de problemas semelhantes.
Recompensa por denúncias de abuso de dados
O Google também anunciou o lançamento de outro programa de recompensas da empresa que pagará por denúncias de abuso de dados. Um abuso acontece quando um aplicativo, serviço ou até uma extensão do Chrome captura dados de maneira indevida, sem informar o usuário ou através de métodos proibidos pelas políticas do Google.
Em julho, o Google removeu extensões do Chrome que vazavam todo o histórico de navegação.
O escândalo da Cambridge Analytica, que gerou uma multa de US$ 5 bilhões para o Facebook, é outro exemplo de abuso de dados. O Facebook iniciou o pagamento por informações de abuso de dados em abril de 2018, um mês após a revelação do caso.
Plataforma já pagou US$ 62 milhões
Os programas de recompensa de falhas do Google Play e de Proteção de Dados são oferecidos por meio da plataforma hackerOne, que atende diversas organizações e atua como uma “central” para essas recompensas.
A hackerOne divulgou esta semana que seis pesquisadores já se tornaram milionários por meio de suas contribuições — ou seja, já ganharam mais de US$ 1 milhão. No total, foram pagos US$ 62 milhões (cerca de R$ 255 milhões) em recompensas por mais de 123 mil vulnerabilidades distribuídas em mais de 1.400 programas de recompensas.
O programa de recompensas principal do Google, chamado de VRP, é gerenciado internamente pela empresa, sem intermédio da hackerOne.
No caso dos programas do Google na hackerOne, os pagamentos referentes a aplicativos da Play Store são de mil dólares, em média, com o valor máximo chegando a US$ 5 mil (cerca de R$ 20 mil) e podendo ser ainda maior com a expansão anunciada.
A recompensa por denúncias de abuso de dados é nova e as primeiras contribuições foram avaliadas em US$ 500, mas o Google informou que um só relato de alta qualidade pode valer até US$ 50 mil (cerca de R$ 200 mil).
O que são os programas de recompensas?
Os programas de recompensa (ou “Bug Bounties”, como são chamados em inglês) atraem o trabalho de especialistas em segurança, remunerando o tempo gasto para procurar uma falha e confirmar a viabilidade de um ataque. As informações são utilizadas para corrigir as brechas e evitar que sejam utilizadas para fins maliciosos.
Antes da adoção desses programas, a ética obrigava a entrega gratuita desse tipo de informação, sendo a exigência de qualquer cobrança vista como extorsão ou chantagem. Isso levou ao movimento “full disclosure” (“revelação total”), em que vulnerabilidades eram divulgadas publicamente antes mesmo da correção estar disponível. A prática colocava os usuários em risco, mas obrigava as empresas a atuar rapidamente para sanar as deficiências.
Como hoje há vários serviços e aplicativos que pagam por vulnerabilidades, quem não oferece nenhuma recompensa tende a ficar de fora do trabalho preventivo de especialistas e pesquisadores, recebendo apenas a atenção de criminosos.