Un paio di giorni fa vi abbiamo riportato la notizia della decisione del colosso di Mountain View di chiudere il Google Play Security Reward Program, un programma che negli ultimi hanno ha contribuito ad aumentare la sicurezza dello store proprietario dell’azienda.
Se già nella comunicazione inviata tramite email agli sviluppatori interessati la società forniva comunque alcune spiegazioni, nelle ultime ore un portavoce del colosso è tornato sull’argomento fornendo qualche dettaglio in più sulla questione.
I motivi dietro la chiusura del Google Play Security Reward Program
Il Google Play Security Reward Program è un programma nato nel 2017 con lo scopo di incentivare chi si occupa di sicurezza a trovare e a divulgare in modo responsabile le vulnerabilità nelle app Android più diffuse, distribuite tramite il Google Play Store; se inizialmente il programma in questione era limitato ad un ristretto numero di sviluppatori, nonché ad una ristretta tipologia di vulnerabilità (principalmente quelle che causavano l’esecuzione di codice remoto o il furto di dati privati), nel corso del tempo si è ampliato accogliendo gli sviluppatori di alcune delle più grandi app Android, oltre che per includere tutte le applicazioni presenti sul Play Store con almeno 100 milioni di installazioni.
Nell’arco di sette anni il Google Play Security Reward Program ha quindi aiutato l’azienda a stabilire regole automatiche migliori per rilevare le vulnerabilità nei sistemi di sicurezza del Play Store, circostanza che ad oggi ha fatto sì che molte delle vulnerabilità che venivano segnalate e che davano diritto ad una ricompensa, vengano di fatto rilevate automaticamente dai sistemi della società.
Secondo quanto riportato dai colleghi di androidheadlines, un portavoce di Google avrebbe fornito qualche dettaglio in più sulla vicenda con la seguente dichiarazione:
Apprezziamo molto la comunità di ricerca sulla sicurezza che aiuta a proteggere gli utenti Android. Il Google Play Security Reward Program (GPSRP) è stato il primo programma del suo genere a pagare un bonus di ricompensa in aggiunta a qualsiasi programma di ricompensa per vulnerabilità degli sviluppatori applicabile. Lanciato per incoraggiare gli sviluppatori di app a creare i propri programmi di sicurezza, GPSRP ha raggiunto il suo obiettivo dopo 7 anni.
Come risultato dei nostri progressi nelle funzionalità di sicurezza di Android e nel rafforzamento del sistema operativo, abbiamo visto meno vulnerabilità perseguibili segnalate al programma GPSRP dalla comunità di ricerca. A causa di questa diminuzione delle vulnerabilità perseguibili segnalate, stiamo riducendo il programma.
In sostanza il portavoce rimarca quanto già comunicato inizialmente, sottolineando al contempo l’importanza che il Google Play Security Reward Program ha avuto negli ultimi anni, lo strumento in questione infatti ha contribuito a far sì che sistemi di sicurezza di Google Play siano ad oggi maggiormente in grado di rilevare autonomamente le vulnerabilità grazie ad anni di raccolta ed elaborazione dei dati.
Ovviamente Google si premura di spingere gli sviluppatori che dovessero individuare determinate vulnerabilità a collaborare direttamente con chi ha sviluppato le applicazioni interessate, appellandosi di fatto alla professionalità degli addetti ai lavori più che al loro interesse nei confronti del ritorno economico.
Nonostante ciò, gli sviluppatori a caccia di vulnerabilità hanno comunque ancora modo di guadagnare in questo frangente nonostante la chiusura del Google Play Security Reward Program, sia grazie a diversi altri programmi “bug bounty”, sia indirizzando le proprie capacità verso un settore fortemente in crescita come quello dei servizi basati sull’utilizzo dell’intelligenza artificiale.