A Google lançou, depois de muito tempo de espera, um programa de recompensa (bug bounty) para pesquisadores que encontrarem e relatarem vulnerabilidades presentes em aplicativos Android. Contudo, não são todos os apps que se enquadram ao programa: apenas os maiores, selecionados pela Google, poderão ser destrinchados pelos pesquisadores.
O programa, chamado "Google Play Security Reward", vai pagar US$ 1 mil (cerca de R$ 3,1 mil em conversão direta) para quem descobrir uma falha e ajudar a manter a comunidade Android mais segura.
Até o momento, são poucos os apps que entram no programa: Tinder, Alibaba, Snapchat, Duolingo, Line, Dropbox, Headspace e Mail.ru. Mesmo que sejam poucos, a Google começa a tomar o caminho correto ao oferecer recompensas para pesquisadores independentes.
O escopo do programa é limitado para vulnerabilidades de RCE (execução de código remoto) e PoCs (prova de conceito)
"A meta desse programa é melhorar a segurança dos aplicativos, o que vai beneficiar os desenvolvedores, usuários Android e todo o ecossistema da Google Play", comentou a empresa na página HackerOne. "No futuro, outras vulnerabilidades poderão ser adicionadas ao nosso escopo".
Isso significa que hacker bem intencionados, também chamados de white-hat, poderão ter mais chances para desenvolver suas habilidades e ainda tentar ganhar um dinheiro de forma lícita. De acordo com a Google, assim uma vulnerabilidade for encontrada, ela deve ser relatada primeiro ao desenvolvedor do aplicativo em questão. Após a correção da falha, o pesquisador poderá enviar a falha ao Google Play Security Reward.
"Por agora, o escopo do programa é limitado para vulnerabilidades de RCE (execução de código remoto) e PoCs (prova de conceito) que aconteçam em dispositivos com Android 4.4 ou superior", adicionou a Google.
Fontes
Categorias