Google betaalt bug bounties voor alle apps met meer dan honderd miljoen installaties

Alle Android-apps met meer dan honderd miljoen installaties maken voortaan automatisch deel uit van Googles Bug Bounty-programma. Zo kunnen beveiligingsexperts voor sommige apps twee keer langs de kassa passeren.

Google breidt zijn Google Play Security Reward Program (GPSRP) drastisch uit. Voortaan maken alle applicaties in de Play Store met meer dan honderd miljoen installaties automatisch deel uit van het programma. Wie een remote execution-bug ontdekt in een dergelijke app en die aan Google meedeelt krijgt 20.000 dollar. Een datalek kan tot 3.000 dollar opleveren.

Google betaalt het geld voor bugs in alle apps met voldoende installaties, ongeacht de ontwikkelaar. Gaat het om applicaties van andere grote softwarebozo’s zoals Microsoft, dan mag een beveiligingsonderzoeker de bug ook daar indienen als er een relevant bounty-programma loopt, om zo twee keer een beloning op te strijken.

Betere Play Store-beveiliging

In dat opzicht lijkt de zet van Google een beetje vreemd. De Androidbouwer investeert immers eigen geld in de beveiliging van apps van derden. Google gebruikt de informatie echter om de beveiliging van de hele Play Store te verbeteren.

Na de ontdekking van een kwetsbaarheid wordt de Play Store immers gescand zodat gelijkaardige lekken in andere misschien minder populaire applicaties naar boven komen. Google neemt contact op met de ontwikkelaars van een app en zal erop staan dat de lekken worden aangepakt. Wie dat niet doet, riskeert dat zijn app uit de online winkel wordt gekieperd.

Het GPSRP-programma bestaat al sinds 2017 maar werd nooit erg populair. Aanvankelijk lagen de beloningen vrij laag en ook de apps waar het op van toepassing was, bleven beperkt. Google cureerde immers manueel een lijst. Voortaan wordt het programma dus breed opengetrokken.

Google lanceert in de marge nog een nieuw bounty-programma. Het Developer Data Protection Reward-programma beloont onderzoekers die misbruik van Google’s API’s ontdekken. Het gaat dan om misbruik in Android-apps maar ook via Chrome-applicaties en extensies.

Gerelateerd: Google Play Store verspreidde kwaadaardige apps Coin Wallet en Trezor Mobile Wallet