2

O tak! Właśnie tego w sklepie Google Play bardzo brakowało

Sklep Google Play to tylko na pozór repozytorium, któremu nic nie brakuje. Owszem, znajdziemy tam masę przydatnych aplikacji i wręcz możemy zgubić się w ich gąszczu. Ale ilość to nie wszystko - liczy się także jakość. Z tym ostatnio jest spory problem, bowiem okazywało się, że w niektórych produktach znajdowano bardzo poważne luki bezpieczeństwa.

Z powodu częstych wpadek własnych mechanizmów sprawdzania aplikacji pod kątem luk, Google zdecydowało się stworzyć program „bug bounty”, który dotyczy właśnie repozytorium Play. Gigant z powodzeniem prowadzi już podobne przedsięwzięcia dla innych swoich produktów. Dzięki temu poświęconemu przeglądarce Chrome udało się zidentyfikować i zlikwidować sporo niebezpiecznych luk. Natomiast osoby, które wskazały Google błędy mogły się cieszyć z nagród pieniężnych, stosownych dla istotności wykazanej podatności.

Google Play Security Reward Program opiera się na podobnych założeniach. Zadaniem użytkowników jest testowanie publikowanych w repozytorium aplikacji i sprawdzanie, czy nie zawierają one istotnych z punktu widzenia bezpieczeństwa błędów. Jeżeli tak, powinni oni wpierw skontaktować się z deweloperem, któremu wskażą lukę i zaoferują pomoc w trakcie konstruowania łatki. Jak to już się uda, uczestnik programu bug-bounty powinien zgłosić się do Google celem otrzymania nagrody. Wszystko to odbywa się w ramach platformy HackerOne, która skierowana jest m. in. do osób, które „zawodowo” zajmują się poszukiwaniem luk i zgłaszaniem ich firmom zajmującym się tworzeniem oprogramowania. Tak przy okazji – można z tego całkiem nieźle żyć!

google play android

Nie rozwiązuje to natomiast jednego problemu, który trapi sklep Google Play

Osobnym problemem jest to, że co jakiś czas w sklepie Google Play pojawiają się aplikacje, które pod płaszczykiem „bezpiecznych” i pożądanych funkcji skrywają w sobie złośliwe mechanizmy. Dodatkowo, są one intencjonalnie wprowadzane do repozytorium po to, aby wywołać określone szkody u użytkowników. Wspomniany wyżej program bug bounty nie dotyczy takich przypadków z urzędu. Dlaczego? Bo każdy błąd bezpieczeństwa należy najpierw zgłosić deweloperowi, a w przypadku świadomego publikowania niebezpiecznych aplikacji jest to kompletnie bezcelowe.

W pewnych przypadkach otwieranie programu bug bounty dla złośliwych aplikacji byłoby niezasadne – użytkownicy z reguły szybko reagują na takie przypadki i publikują odpowiednie dla tego recenzje. Z drugiej strony jednak, deweloperzy – przestępcy bardzo dbają o to, by ukryć swoje prawdziwe zamiary. Uważam jednak, że Google spojrzy przychylnie również na takie przypadki, w których bug hunter dokona trafnej analizy złośliwego programu i udowodni gigantowi, że dana propozycja nie powinna w ogóle pojawić się w sklepie. Jednak takie przypadki będą rozpatrywane indywidualnie, z pewnością nie w ramach Google Play Security Reward Program, który ukierunkowany jest tylko na szukanie dziur w oprogramowaniu.

  • akki

    ciekawe ile appek kopie kryptowaluty ??? taki FB/Messenger zarabialyby setki milionow $$$

    • Szymon L

      HA! I wyjaśniło się czemu tak szybko zżerają baterię. Nie przez słabą optymalizację, tylko dlatego że kopią!