Após seis anos de operação, o Google anunciou o encerramento do Google Play Security Reward Program (GPSRP), um programa de recompensas que incentivava pesquisadores de segurança a encontrar e relatar vulnerabilidades em aplicativos Android.
O programa, lançado em outubro de 2017, foi criado com o objetivo de tornar a Play Store um ambiente mais seguro para os usuários, recompensando aqueles que encontrassem falhas críticas em aplicativos populares.
O GPSRP começou com um escopo limitado, aceitando vulnerabilidades apenas em aplicativos de um número seleto de desenvolvedores participantes.
As recompensas iniciais variavam de US$ 1 mil a US$ 5 mil, dependendo da gravidade da falha identificada. Com o tempo, o programa se expandiu para incluir desenvolvedores de grandes aplicativos como Facebook, TikTok, Spotify e muitos outros, e as recompensas aumentaram, chegando a US$ 20 mil para vulnerabilidades mais críticas.
Vulnerabilidades em apps Android reduziram, diz Google
De acordo com o Google, os dados coletados através do GPSRP ajudaram a empresa a criar verificações automatizadas que analisam todos os aplicativos disponíveis na Play Store em busca de vulnerabilidades semelhantes. Em 2019, essas verificações contribuíram para que mais de 300 mil desenvolvedores corrigissem mais de 1 milhão de aplicativos.
Apesar dos resultados positivos, o Google anunciou que encerrará o programa em 31 de agosto de 2024.
Em comunicado aos desenvolvedores participantes, a empresa atribuiu o fechamento do GPSRP à diminuição do número de vulnerabilidades acionáveis relatadas.
O Google destacou que essa redução é reflexo do aumento geral na postura de segurança do sistema operacional Android e dos esforços contínuos para fortalecer seus recursos de segurança.
Embora o encerramento do programa indique que muitos dos aplicativos populares já estão bem protegidos, ele também levanta preocupações sobre o futuro da segurança na Play Store já que, sem o incentivo financeiro do GPSRP, alguns pesquisadores de segurança podem não ter motivação para relatar vulnerabilidades futuras de forma responsável, especialmente se essas falhas afetarem aplicativos de desenvolvedores que não possuem seus próprios programas de recompensas.
O Google assegurou que todos os relatórios submetidos até o encerramento do programa serão revisados e tratados antes do término definitivo, com as recompensas sendo distribuídas até o final de setembro.
A empresa também encorajou os pesquisadores a continuar colaborando em outros programas de segurança, como o Android e o Google Devices Security Reward Program.