Cacciatori di bug a raccolta: Google estende il suo programma di ricompense e ne lancia uno tutto nuovo

Roberto Artigiani -

Quando leggete “bugfix” nel changelog di aggiornamento di un’app vi siete mai chiesti chi aveva identificato il bug in prima battuta? Oppure avete mai pensato come fa Play Protect a identificare anomalie nelle sue scansioni? Di solito la risposta viene dall’interno, ossia dalle stesse persone che hanno sviluppato l’applicazione, ma in alcuni casi degli occhi freschi riescono a vedere quello che agli altri sfugge. È con questo spirito che le aziende più grandi hanno lanciato nel tempo dei programmi di “bug bounty” ossia un sistema di ricompense per chi segnala specifiche vulnerabilità, tanto più alte quanto più grave è il bug scovato.

Anche Google ha qualcosa del genere e si chiama Google Play Security Reward Program (anche noto come GPSRP). Da oggi questo programma viene esteso arrivando a comprendere anche tutte le app con più di 100 milioni di installazioni sul Play Store. Ogni segnalazione ricevuta viene girata agli sviluppatori mentre la distribuzione delle app interessate è bloccata temporaneamente finché la problematica non viene risolta. Ad oggi Google dichiara di aver aiutato più di 300.000 sviluppatori comunicando bug su più di un milione di app e distribuendo 265.000$ in ricompense.

LEGGI ANCHE: Quali smartphone saranno aggiornati ad Android 10 Q

Al GPSRP si affianca, a partire da oggi, il nuovo programma in collaborazione con HackerOne. Il Developer Data Protection Reward Program riguarda specificamente i dati dei clienti minacciati da applicazioni, estensioni di Chrome o progetti OAuth. Sono previste ricompense per tutti coloro che segnaleranno violazioni verificabili e inequivocabili delle policy di: Google Play, API Google e Chrome Web Store. In particolare, lo scopo è identificare casi in cui i dati degli utenti vengono usati o venduti in maniera non dichiarata oppure riutilizzati in modo illegittimo senza che l’utente ne sia a conoscenza. Al momento non è stata fissata una tabella per le ricompense, ma nemmeno una taglia massima anche se Google dichiara di poter riconoscere fino a 50.000$ per casi particolarmente gravi.

Fonte: Android Developers