Google encerra programa de recompensas por falhas de segurança em apps Android

Os investigadores de segurança deixarão de poder contar com recompensas da Google por falhas descobertas em apps Android populares.

A Google anunciou o fim do seu Programa de Recompensas de Segurança da Google Play (GPSRP - Google Play Security Reward Program), que estava em funcionamento desde 2017. Esta iniciativa foi criada para incentivar investigadores de segurança a identificar e reportar, de forma responsável, vulnerabilidades em aplicações populares do Android disponíveis na Google Play Store.

Lançado em Outubro de 2017, o GPSRP começou por oferecer recompensas por falhas de segurança que poderiam levar a problemas como execução remota de código ou roubo de dados. Ao longo dos anos, o programa expandiu-se para incluir algumas das apps Android mais populares, como o Facebook, TikTok e Spotify, aumentando significativamente as recompensas até um máximo de 20 mil dólares. Em 2019, a Google deu novo passo na sua expansão, ampliando o programa a todas as apps com mais de 100 milhões de instalações no Google Play.

Apesar do sucesso em melhorar a segurança das apps e ajudar os programadores a corrigir mais de um milhão de apps, a Google decidiu encerrar o GPSRP. A empresa diz que o principal motivo é a grande diminuição do número de vulnerabilidades reportadas, atribuindo este facto a melhorias na postura geral de segurança na plataforma Android e uma maior consciencialização por parte dos developers. O programa será oficialmente encerrado a 31 de Agosto de 2024.

Pessoalmente, parece-me uma má decisão. Se a Google diz que os casos eram cada vez mais raros, significa que este era um programa extremamente económico face aos benefícios que proporciona a nível de melhorar a segurança global da plataforma. Veremos se no futuro isto não acabará por ser uma má decisão.