Por Redação O Sul | 22 de outubro de 2017
O Google iniciou uma parceria com alguns desenvolvedores de aplicativos populares para Android para pagar recompensas em dinheiro de até mil dólares (cerca de 3,2 mil reais) para quem encontrar alguma falha de segurança grave nos apps incluídos no programa. A iniciativa recebeu o nome de “Google Play Security Reward Program” e envolve todos os aplicativos do Google, além de oito apps desenvolvidos por outras empresas.
A lista de aplicativos de terceiros participantes inclui serviços populares no Brasil como Tinder, Dropbox e Snapchat. Os outros aplicativos que fazem parte do programa são o Alibaba, Duolingo, Headspace, Line e Mail.ru.
As brechas devem ser relatadas por meio da plataforma HackerOne. Para alguns dos aplicativos participantes, como Tinder e Alibaba, há canais específicos para encontrar em contato com a empresa desenvolvedora.
Além do pagamento padrão de até mil dólares, as regras preveem um possível pagamento adicional estipulado pela equipe de segurança do Android no Google “pela melhora da segurança no ecossistema do Android”.
O Google foi pioneiro no pagamento de recompensas a pesquisadores independentes que colaboram encontrando falhas de segurança em seus produtos. A iniciativa começou em 2010 com o navegador Chrome e, ainda no mesmo ano, passou a incluir os sites da companhia. Atualmente, o programa também vale para o Android, para o Chrome OS e, agora, também para os aplicativos.
No caso dessa nova iniciativa para aplicativos, apenas falhas graves da categoria de execução de código se qualificam para participar e as recomepensas ainda são baixas quando comparadas a outros pagamentos do Google (uma falha gravíssima no Android pode render até 200 mil dólares). No entanto, é possível que outros tipos de falhas e outros aplicativos sejam incluídos no programa no futuro.
Plataforma HackerOne
HackerOne tem conectado empresas com pesquisadores de segurança para ajudar a encontrar vulnerabilidades de softwares desde que foi fundada em 2012. A plataforma tem sido usada por muitas empresas para recompensas públicas e privadas, incluindo empresas como Adobe, Kaspersky Lab, Twitter, Microsoft e Facebook. Em março deste ano, a Rockstar Games tornou-se a mais recente empresa a anunciar uma recompensa pública.
HackerOne mencionou que reconhece que códigos open-source sustentam muitos produtos e serviços, dizendo ainda que foi obrigada a oferecer a assinatura do HackerOne Professional gratuitamente. A empresa cita que, atualmente, 36 projetos de código aberto utilizam sua plataforma, e mais de 1.200 vulnerabilidades foram resolvidas em projetos, incluindo Ruby, Rails, Discourse, Django, GitLab, Brave e Sentry.
Para se qualificar para o serviço Community Edition, os projetos open-source devem possuir mais de três meses de existência, estar ativos e cobertos por uma licença OSI (Open Source Initiative), que permite que o software seja usado, modificado e compartilhado livremente.
