Google hat entschieden, dass es für Schwachstellen in Play Store-Apps und -Spielen nicht zahlen wird. Der Suchgigant stellt damit sein Bug-Bounty-Programm praktisch ein.
Google zahlt nicht für Sicherheitslücken, da das Play Security Reward Program eingestellt wird
Google hat im Oktober 2017 das Google Play Security Reward Program (GPSRP) gestartet. Es handelt sich im Wesentlichen um ein Bug-Bounty-Programm. Mehrere Unternehmen suchen Hilfe bei externen Einzelpersonen und Agenturen, um Schwachstellen und Lücken in der Software zu erkennen, und Google bildet hier keine Ausnahme.
Google hat Sicherheitsforscher erfolgreich dazu motiviert, Schwachstellen zu finden und offenzulegen. Das GPSRP war insbesondere für Android-Apps gedacht, die über den Google Play Store vertrieben werden.
Google beendet das Google Play Security Reward Program am 31. August, da weniger Schwachstellen gemeldet werden. pic.twitter.com/4ohrvT04m2
— choqao (@choqao) 19. August 2024
Interessant ist, dass Google GPSRP zunächst auf eine begrenzte Anzahl von Entwicklern beschränkte. Diese mussten geeignete Schwachstellen melden, die eine kleine Anzahl von Anwendungen betrafen. Darüber hinaus wurden nur die Produkte einiger weniger App-Entwickler einer Prüfung unterzogen.
Google hat das Bug-Bounty-Programm schließlich auf mehrere Apps von Amazon, Snapchat, Tesla, TikTok und anderen ausgeweitet. Der Suchriese hat jedoch Berichten zufolge beschlossen, das Programm einzustellen. Infolgedessen erhalten Sicherheitsforscher keine finanziellen Belohnungen.
Sind Android-Apps nun unentdeckten Sicherheitsrisiken ausgesetzt?
Google wird künftig keine Zahlungen mehr für Sicherheitslücken in Play Store-Apps leisten. Das bedeutet jedoch nicht, dass Android-Apps nun Sicherheitsrisiken ausgesetzt sind.
Google behauptet, dass es nun von seinen Sicherheitsmaßnahmen überzeugt ist. Der Suchriese gab an, dass das Google Play Security Reward Program den Play Store zu einem sichereren Ziel für Android-Apps machen soll.
Google hat erklärt, dass es durch das Programm eine Menge Daten zu Schwachstellen gesammelt hat. Das Wissen wurde genutzt, um automatisierte Prüfungen zu erstellen, die alle im Google Play Store verfügbaren Apps auf ähnliche Schwachstellen scannen.
Durch die Einführung des GPSRP gibt es deutlich weniger Sicherheitslücken, die die automatisierten Kontrollen und Abwehrmaßnahmen von Google umgehen können. Aus diesem Grund hat das Unternehmen beschlossen, das Programm einzustellen.
Dass Google sein Bug-Bounty-Programm für den Play Store beendet, lässt stark darauf schließen, dass der Android App Store nun weitgehend vor Schwachstellen geschützt ist. Sicherheitsforscher haben jedoch keinen Anreiz mehr, neue Schwachstellen zu melden, da Google sie nicht großzügig bezahlt. Übrigens können Forscher immer noch am Vulnerability Rewards Program verdienen, das jetzt Plattformen für generative künstliche Intelligenz abdeckt.
