Οι ευπάθειες ασφαλείας αποτελούν βασική απειλή για τις περισσότερες συσκευές και τα προγράμματα που χρησιμοποιούμε. Το ίδιο ισχύει και για τις εφαρμογές που έχουμε στο τηλέφωνό μας. Δυστυχώς, δεν υπάρχει τρόπος για την προληπτική διόρθωση κάθε πιθανού ζητήματος ασφάλειας. Αυτός είναι ο λόγος για τον οποίο πολλοί οργανισμοί εκτελούν προγράμματα bug bounty, κατά τα οποία ερευνητές ασφαλείας ανακαλύπτουν ευπάθειες σε προϊόντα και τις αναφέρουν στις εταιρείες. Ως αντάλλαγμα, λαμβάνουν μια χρηματική αμοιβή. Ένα τέτοιο πρόγραμμα είναι και το Πρόγραμμα Επιβράβευσης Ασφαλείας του Google Play (GPSRP), το οποίο πληρώνει ερευνητές για να βρουν ευπάθειες σε δημοφιλείς εφαρμογές Android. Ωστόσο, η Google ανακοίνωσε ότι θα σταματήσει το πρόγραμμα GPSRP στο τέλος του μήνα.
Η Google ανακοίνωσε το Google Play Security Reward Program τον Οκτώβριο του 2017, προτρέποντας ερευνητές από όλο τον κόσμο να βρουν και να αποκαλύψουν υπεύθυνα ευπάθειες σε δημοφιλείς εφαρμογές Android που διανέμονται μέσω του Google Play Store.
Δείτε επίσης: Το Google Play Store ίσως επιτρέψει ενημερώσεις για εφαρμογές τρίτων
Αρχικά, το GPSRP περιοριζόταν σε έναν επιλεγμένο αριθμό προγραμματιστών στους οποίους επιτρεπόταν να υποβάλουν μόνο επιλέξιμες ευπάθειες που επηρέαζαν εφαρμογές από έναν μικρό αριθμό συμμετεχόντων προγραμματιστών. Οι επιλέξιμες ευπάθειες επέτρεπαν απομακρυσμένη εκτέλεση κώδικα ή κλοπή ιδιωτικών δεδομένων. Αργότερα, το πεδίο εφαρμογής του προγράμματος επιβράβευσης επεκτάθηκε για να καλύψει τους προγραμματιστές ορισμένων από τις μεγαλύτερες εφαρμογές Android όπως Airbnb, Alibaba, Amazon, Dropbox, Facebook, Grammarly, Instacart, Line, Lyft, Opera, Paypal, Pinterest , Shopify, Snapchat, Spotify, Telegram, Tesla, TikTok, Tinder, VLC, Zomato κ.ά.
Τον Αύγουστο του 2019, η Google ανακοίνωσε άλλη μια επέκταση του GPSRP, ώστε να καλύψει όλες τις εφαρμογές στο Google Play με τουλάχιστον 100 εκατομμύρια εγκαταστάσεις. Επιπλέον, με τα χρόνια αυξήθηκαν και οι αμοιβές των ερευνητών.
Δείτε επίσης: Το Android spyware Mandrake κρύβεται σε εφαρμογές στο Google Play
Ο σκοπός του Google Play Security Reward Program ήταν απλός: η Google ήθελε να κάνει το Play Store ένα πιο ασφαλές μέρος για εφαρμογές Android. Η εταιρεία είπε ότι τα δεδομένα σχετικά με τις ευπάθειες που αναφέρονταν, βοήθησαν στη δημιουργία αυτοματοποιημένων ελέγχων για σάρωση όλων των ευπαθειών που ήταν διαθέσιμες στο Google Play. Το 2019, η Google είπε ότι αυτοί οι αυτοματοποιημένοι έλεγχοι βοήθησαν περισσότερους από 300.000 προγραμματιστές να διορθώσουν περισσότερες από 1.000.000 εφαρμογές. Ως αποτέλεσμα, λιγότερες ευάλωτες εφαρμογές διανέμονται στους χρήστες Android.
Ωστόσο, η Google αποφάσισε τώρα να καταργήσει το GPSRP. Σε ένα email προς τους συμμετέχοντες προγραμματιστές, η εταιρεία ανακοίνωσε την παύση του προγράμματος στις 31 Αυγούστου.
Η εταιρεία ευχαρίστησε τους ερευνητές για την ανακάλυψη ευπαθειών όλα αυτά τα χρόνια και λέει τώρα ότι έχουν μειωθεί σημαντικά τα σφάλματα που μπορούν να χρησιμοποιηθούν. Ταυτόχρονα, η Google λέει ότι έχει ενισχυθεί γενικά το security status του Android OS και έχουν κυκλοφορήσει νέα χαρακτηριστικά ασφαλείας.
Δείτε επίσης: Το Google Play Protect μπορεί να λάβει κουμπί Rescan
Ωστόσο, το κλείσιμο του GPSRP εγείρει ανησυχίες σχετικά με τη συνεχή ασφάλεια των εφαρμογών Android. Με τον τερματισμό του προγράμματος, τα κίνητρα για τους ερευνητές να εξετάσουν και να αναφέρουν ευπάθειες μπορεί να μειωθούν, οδηγώντας ενδεχομένως σε πιο αργό εντοπισμό σφαλμάτων ασφαλείας. Αυτό θα μπορούσε να εγκυμονεί κινδύνους όχι μόνο για μεμονωμένους χρήστες, αλλά και για τη συνολική ακεραιότητα του οικοσυστήματος Android. Καθώς οι οργανισμοί επανεκτιμούν τις στρατηγικές τους για τη διαχείριση ευπαθειών, η εστίαση μπορεί να στραφεί προς την ενίσχυση των μέτρων εσωτερικής ασφάλειας ή τη συνεργασία με άλλες πρωτοβουλίες αποκάλυψης ευπάθειας για την κάλυψη του κενού που αφήνει το GPSRP. Σε ένα τοπίο όπου οι απειλές εξελίσσονται συνεχώς, η διατήρηση ισχυρών πρακτικών ασφαλείας παραμένει πρωταρχικής σημασίας για τις εταιρείες τεχνολογίας.
Πηγή: www.androidauthority.com
