La maggior parte degli utenti si affida alla piattaforma sviluppata dal colosso di Mountain View per scaricare le applicazioni da utilizzare sui propri dispositivi, il Google Play Store permette infatti di beneficiare non solo di un numero quasi sconfinato di software, ma anche di tutte quelle che sono le misure applicate dall’azienda lato sicurezza.
Considerando dunque la sua importanza, lo store proprietario dell’azienda beneficia ciclicamente dell’introduzione di svariate novità; negli ultimi tempi per esempio abbiamo visto come lo strumento vi aiuterà a non scordarvi delle nuove app, come siano state aumentate sicurezza e privacy, come siano in test le collezioni per scoprire nuove app di qualità, come sia in preparazione una novità molto smart per scegliere l’app giusta, come il Play Store vi avviserà se le watch face sono incompatibili con Wear OS 5, come il servizio sia sempre più personale grazie ai consigli locali, o ancora come Google abbia annunciato miglioramenti per la gestione della personalizzazione.
Il Google Play Security Reward Program chiude i battenti, ne risentirà la sicurezza della piattaforma?
In diverse occasioni ci avete visto consigliare sulle nostre pagine il Google Play Store per il download delle applicazioni, oltre all’elevata disponibilità di differenti tipologie di software uno dei punti principali che spinge ad optare per la piattaforma di Big G è la sicurezza; l’azienda infatti utilizza vari strumenti per assicurarsi che i software presenti sul proprio store siano sicuri e, anche se in più di un’occasione abbiamo visto come malware e insidie di vario tipo riescano comunque a farsi largo, rimane comunque il luogo più sicuro da cui scaricare un’applicazione.
Tra gli strumenti utilizzati dall’azienda per tutelare la sicurezza degli utenti figura il Google Play Security Reward Program (GPSRP), programma nato nel 2017 con lo scopo di incentivare chi si occupa di sicurezza a trovare e a divulgare in modo responsabile le vulnerabilità nelle app Android più diffuse, distribuite tramite il Google Play Store.
Nel corso del tempo il programma si è evoluto, inizialmente era limitato ad un numero selezionato di sviluppatori a cui era consentito inviare solo vulnerabilità idonee che interessavano le applicazioni di un gruppo di sviluppatori partecipanti; inizialmente venivano prese in considerazione esclusivamente vulnerabilità che causavano l’esecuzione di codice remoto o il furto di dati privati, in seguito il Google Play Security Reward Program si è ampliato, accogliendo gli sviluppatori di alcune delle più grandi app Android, tra cui Airbnb, Alibaba, Amazon, Dropbox, Facebook, Grammarly, Instacart, Line, Lyft, Opera, Paypal, Pinterest, Shopify, Snapchat, Spotify, Telegram, Tesla, TikTok, Tinder, VLC e Zomato e altre.
In seguito, nel 2019, Google ha ulteriormente ampliato il programma per includere tutte le applicazioni presenti sul Play Store con almeno 100 milioni di installazioni, anche se non avevano un proprio programma di divulgazione delle vulnerabilità. I dati sulle vulnerabilità raccolti dal programma sono stati utilizzati per creare controlli automatici che hanno analizzato tutte le app disponibili su Google Play per vulnerabilità simili, fornendo un valido strumento per oltre 300.000 sviluppatori che hanno così potuto correggere oltre 1.000.000 di app.
Tuttavia, secondo quanto condiviso da uno sviluppatore su X (ex Twitter), Google avrebbe deciso di chiudere il Google Play Security Reward Program, avvisando i diretti interessati con un’apposita comunicazione tramite email:
Cari ricercatori,
Spero che questa e-mail ti trovi bene. Scrivo per esprimere la mia sincera gratitudine a tutti coloro che hanno segnalato bug al Google Play Security Reward Program negli ultimi anni. I vostri contributi sono stati inestimabili nell’aiutarci a migliorare la sicurezza di Android e Google Play.
Come risultato dell’aumento generale della postura di sicurezza del sistema operativo Android e degli sforzi di rafforzamento delle funzionalità, abbiamo visto meno vulnerabilità perseguibili segnalate dalla comunità di ricerca. A causa di questa diminuzione delle vulnerabilità perseguibili segnalate, stiamo chiudendo il programma GPSRP. Il programma GPSRP terminerà il 31 agosto. Tutti i report inviati prima di tale data saranno esaminati entro il 15 settembre. Le decisioni finali sui premi saranno prese prima del 30 settembre, quando il programma verrà ufficialmente interrotto. L’elaborazione dei pagamenti finali potrebbe richiedere alcune settimane.
Voglio assicurarti che tutti i tuoi report saranno esaminati e affrontati prima della fine del programma. Apprezziamo molto il tuo contributo e vogliamo assicurarci che tutti i problemi da te identificati siano risolti.
Grazie ancora per il tuo supporto al programma GPSRP. Ci auguriamo che continuerai a lavorare con noi, su programmi come Android e Google Devices Security Reward Program.
Distinti saluti,
Tonio
A nome del team di sicurezza Android
L’azienda in buona sostanza imputa la decisione della chiusura del programma ad una diminuzione nel numero di vulnerabilità segnalate e perseguibili, che sarebbe riconducibile all’aumento complessivo della postura di sicurezza del sistema operativo Android e agli sforzi di rafforzamento delle funzionalità.
Cosa implica tutto ciò per gli utenti e per la loro sicurezza? Da un lato gli utenti sono più sicuri sul fatto che le principali applicazioni abbiano in parte già beneficiato del Google Play Security Reward Program, vedendo quindi risolte tutta una serie di criticità da cui erano afflitte, dall’altro però la chiusura del programma implica che diversi ricercatori di sicurezza non saranno più incentivati a rivelare in modo responsabile eventuali vulnerabilità future; gli sviluppatori responsabili eseguiranno comunque il proprio programma bug bounty, ma certamente non tutti.