Sklep Google Play to tylko na pozór repozytorium, któremu nic nie brakuje. Owszem, znajdziemy tam masę przydatnych aplikacji i wręcz możemy zgubić się w ich gąszczu. Ale ilość to nie wszystko - liczy się także jakość. Z tym ostatnio jest spory problem, bowiem okazywało się, że w niektórych produktach znajdowano bardzo poważne luki bezpieczeństwa.
Z powodu częstych wpadek własnych mechanizmów sprawdzania aplikacji pod kątem luk, Google zdecydowało się stworzyć program "bug bounty", który dotyczy właśnie repozytorium Play. Gigant z powodzeniem prowadzi już podobne przedsięwzięcia dla innych swoich produktów. Dzięki temu poświęconemu przeglądarce Chrome udało się zidentyfikować i zlikwidować sporo niebezpiecznych luk. Natomiast osoby, które wskazały Google błędy mogły się cieszyć z nagród pieniężnych, stosownych dla istotności wykazanej podatności.
Google Play Security Reward Program opiera się na podobnych założeniach. Zadaniem użytkowników jest testowanie publikowanych w repozytorium aplikacji i sprawdzanie, czy nie zawierają one istotnych z punktu widzenia bezpieczeństwa błędów. Jeżeli tak, powinni oni wpierw skontaktować się z deweloperem, któremu wskażą lukę i zaoferują pomoc w trakcie konstruowania łatki. Jak to już się uda, uczestnik programu bug-bounty powinien zgłosić się do Google celem otrzymania nagrody. Wszystko to odbywa się w ramach platformy HackerOne, która skierowana jest m. in. do osób, które "zawodowo" zajmują się poszukiwaniem luk i zgłaszaniem ich firmom zajmującym się tworzeniem oprogramowania. Tak przy okazji - można z tego całkiem nieźle żyć!
Nie rozwiązuje to natomiast jednego problemu, który trapi sklep Google Play
Osobnym problemem jest to, że co jakiś czas w sklepie Google Play pojawiają się aplikacje, które pod płaszczykiem "bezpiecznych" i pożądanych funkcji skrywają w sobie złośliwe mechanizmy. Dodatkowo, są one intencjonalnie wprowadzane do repozytorium po to, aby wywołać określone szkody u użytkowników. Wspomniany wyżej program bug bounty nie dotyczy takich przypadków z urzędu. Dlaczego? Bo każdy błąd bezpieczeństwa należy najpierw zgłosić deweloperowi, a w przypadku świadomego publikowania niebezpiecznych aplikacji jest to kompletnie bezcelowe.
W pewnych przypadkach otwieranie programu bug bounty dla złośliwych aplikacji byłoby niezasadne - użytkownicy z reguły szybko reagują na takie przypadki i publikują odpowiednie dla tego recenzje. Z drugiej strony jednak, deweloperzy - przestępcy bardzo dbają o to, by ukryć swoje prawdziwe zamiary. Uważam jednak, że Google spojrzy przychylnie również na takie przypadki, w których bug hunter dokona trafnej analizy złośliwego programu i udowodni gigantowi, że dana propozycja nie powinna w ogóle pojawić się w sklepie. Jednak takie przypadki będą rozpatrywane indywidualnie, z pewnością nie w ramach Google Play Security Reward Program, który ukierunkowany jest tylko na szukanie dziur w oprogramowaniu.
Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu