Google vai pagar quem hackear qualquer aplicativo da Play Store com mais de 100 milhões de downloads

#Notícia Publicado por okardec, em .

IMAGEaHR0cHM6Ly9zdGF0aWMuZ2FtZXZpY2lvLmNvbS9pbWFnZW5zL3VwbG9hZC9iaWcvMS8wMDA4ODUuanBn

Antes, oferta só valia para aplicativos específicos. Google também pagará até US$ 50 mil por denúncias de abuso de dados em aplicativos.

O Google anunciou uma expansão do programa que paga pesquisadores por informações sobre vulnerabilidades: agora a iniciativa passa a incluir todos os aplicativos cadastrados na Play Store que alcançaram a marca de 100 milhões de instalações.

As brechas serão repassadas aos desenvolvedores dos aplicativos e, caso o problema não seja solucionado, o app pode ser removido da loja.

O programa de recompensas do Google Play foi lançado em 2017 e contemplava apenas aplicativos específicos. Com a novidade, qualquer app fará parte do programa assim que ultrapassar a marca de 100 milhões de downloads.

Além de proteger diretamente os usuários de aplicativos populares que não dispõem de programas de recompensa próprios, o Google explicou que também incluirá os detalhes das vulnerabilidades relatadas em um banco de dados utilizado no programa de Aprimoramento de Segurança de Apps (App Security Improvement, ou ASI, na sigla em inglês). Isso permite que outros aplicativos da Play Store sejam examinados pela presença de problemas semelhantes.

Recompensa por denúncias de abuso de dados

O Google também anunciou o lançamento de outro programa de recompensas da empresa que pagará por denúncias de abuso de dados. Um abuso acontece quando um aplicativo, serviço ou até uma extensão do Chrome captura dados de maneira indevida, sem informar o usuário ou através de métodos proibidos pelas políticas do Google.

Em julho, o Google removeu extensões do Chrome que vazavam todo o histórico de navegação.

O escândalo da Cambridge Analytica, que gerou uma multa de US$ 5 bilhões para o Facebook, é outro exemplo de abuso de dados. O Facebook iniciou o pagamento por informações de abuso de dados em abril de 2018, um mês após a revelação do caso.

Plataforma já pagou US$ 62 milhões

Os programas de recompensa de falhas do Google Play e de Proteção de Dados são oferecidos por meio da plataforma hackerOne, que atende diversas organizações e atua como uma "central" para essas recompensas.

A hackerOne divulgou esta semana que seis pesquisadores já se tornaram milionários por meio de suas contribuições - ou seja, já ganharam mais de US$ 1 milhão. No total, foram pagos US$ 62 milhões (cerca de R$ 255 milhões) em recompensas por mais de 123 mil vulnerabilidades distribuídas em mais de 1.400 programas de recompensas.

O programa de recompensas principal do Google, chamado de VRP, é gerenciado internamente pela empresa, sem intermédio da hackerOne.

No caso dos programas do Google na hackerOne, os pagamentos referentes a aplicativos da Play Store são de mil dólares, em média, com o valor máximo chegando a US$ 5 mil (cerca de R$ 20 mil) e podendo ser ainda maior com a expansão anunciada.

A recompensa por denúncias de abuso de dados é nova e as primeiras contribuições foram avaliadas em US$ 500, mas o Google informou que um só relato de alta qualidade pode valer até US$ 50 mil (cerca de R$ 200 mil).

O que são os programas de recompensas?

Os programas de recompensa (ou "Bug Bounties", como são chamados em inglês) atraem o trabalho de especialistas em segurança, remunerando o tempo gasto para procurar uma falha e confirmar a viabilidade de um ataque. As informações são utilizadas para corrigir as brechas e evitar que sejam utilizadas para fins maliciosos.

Antes da adoção desses programas, a ética obrigava a entrega gratuita desse tipo de informação, sendo a exigência de qualquer cobrança vista como extorsão ou chantagem. Isso levou ao movimento "full disclosure" ("revelação total"), em que vulnerabilidades eram divulgadas publicamente antes mesmo da correção estar disponível. A prática colocava os usuários em risco, mas obrigava as empresas a atuar rapidamente para sanar as deficiências.

Como hoje há vários serviços e aplicativos que pagam por vulnerabilidades, quem não oferece nenhuma recompensa tende a ficar de fora do trabalho preventivo de especialistas e pesquisadores, recebendo apenas a atenção de criminosos.

Allan Kardec
Allan Kardec #okardec

O homem certo no lugar errado, pode mudar o Mundo!

, Luziânia, GO, Brasil
Deixe seu comentário para sabermos o que você achou da publicação
Não se esqueça que você pode participar do nosso Discord.
E também nos seguir no Facebook, Twitter, Instagram e na nossa curadorida da Steam.
Publicações que talvez você possa gostar
Phil Spencer teria garantido aos funcionários que o Xbox ainda fabricará consoles
Top Reino Unido | Hogwarts Legacy retorna ao primeiro lugar
Starfield perdeu 97% dos jogadores no Steam em menos de seis meses
Capcom teria dado sinal verde para vários títulos de Resident Evil, incluindo remakes
Helldivers 2 ultrapassou 360 mil jogadores simultâneos no PC e PS5
Marvel apresenta o primeiro teaser dublado de Deadpool e Wolverine
2K Games pode estar trabalhando com um novo jogo de futebol em colaboração com a FIFA
Publicações em Destaque
Microsoft ficou surpresa com o quão longe foram os rumores, afirma Tom Henderson
#Games, Por VSDias55,
Pesquisa revela as franquias da Microsoft que jogadores de PlayStation mais gostariam de receber
#Notícias, Por VSDias55,
Phil Spencer promete compartilhar mais detalhes sobre o futuro do Xbox na próxima semana
#Games, Por coca,
Nova pista reforça os rumores de que o Xbox se tornará multiplataforma
#Games, Por coca,
Mais Publicações