Kürzlich bestätigte Google die Einstellung seines Google Play Security Reward Program (GPSRP). Das bedeutet, dass Forscher keine Zahlungen mehr für das Auffinden von Schwachstellen in Google Play Store-Apps erhalten. Nun hat der Gigant aus Mountain View den Grund für die Entscheidung bekannt gegeben.
Offizielle Mitteilung von Google: Für die Suche nach Schwachstellen im Play Store wird nicht mehr gezahlt
Laut einem Google-Sprecher hat das GPSRP dem Unternehmen nach 7 Jahren geholfen, bessere automatische Regeln zur Erkennung von Schwachstellen in den Sicherheitssystemen des Play Stores zu etablieren. Viele der Schwachstellen, die für eine finanzielle Belohnung in Frage kommen würden, werden also bereits automatisch erkannt.
In der Erklärung zeigt sich das Unternehmen zunächst stolz darauf, das Programm überhaupt ins Leben gerufen zu haben: „Wir schätzen die Sicherheitsforschungs-Community sehr, die dazu beiträgt, die Sicherheit der Android-Nutzer zu gewährleisten. Das Google Play Security Reward Program (GPSRP) war das erste Programm seiner Art, das zusätzlich zu allen anwendbaren Belohnungsprogrammen für Entwickler bei Schwachstellen eine Bonusprämie auszahlte. Das GPSRP wurde ins Leben gerufen, um App-Entwickler zu ermutigen, eigene Sicherheitsprogramme zu entwickeln, und hat nach 7 Jahren sein Ziel erreicht.“
Zur Einstellung des Programms sagt der Google-Sprecher dann Folgendes: „Aufgrund unserer Fortschritte bei den Android-Sicherheitsfunktionen und der OS-Härtung haben wir festgestellt, dass die Forschungsgemeinschaft dem GPSRP-Programm weniger Schwachstellen gemeldet hat, die eine Handlung erfordern. Aufgrund dieses Rückgangs der gemeldeten Schwachstellen stellen wir das Programm ein.“
Dies bedeutet, dass die Sicherheitssysteme von Google Play nun viel besser in der Lage sind, Schwachstellen selbstständig zu erkennen. Dies ist dank jahrelanger Datenerfassung und -verarbeitung möglich. Zwar erhalten Forscher für das Auffinden von Schwachstellen bei Google Play keine Zahlungen mehr, das Unternehmen ermutigt sie jedoch, „direkt mit Anwendungsentwicklern zusammenzuarbeiten, wenn sie potenzielle Sicherheitslücken entdecken“.
Programm für KI-gestützte Dienste und Plattformen von Google weiterhin aktiv
Obwohl Google das „Bug-Bounty“-Programm für Play Store-Apps einstellt, gibt es immer noch Bereiche, in denen es aktiv ist. Zum Beispiel bei seinen KI-gestützten Diensten, einem Segment, das vor einigen Jahren plötzlich explodierte. Bei letzterem liegt noch viel Arbeit vor uns und es gibt potenzielle Belohnungen für Forscher zu gewinnen. Im Fall von Google Play ist es normal, dass die Plattform einen solchen Reifegrad erreicht hat. Schließlich steckt bereits viel Zeit, Feedback und Arbeit dahinter.
