Google Play: stop a ricompense per chi scopre vulnerabilità

Le vulnerabilità nell’ambito dell’informatica possono costare milioni di dollari alle compagnie. Proprio per questo motivo, i colossi tecnologici si affidano spesso a servizi definiti come bug bounty, invogliando i programmatori a individuare eventuali falle per segnalare le stesse e reclamare una sorta di “taglia”.

Rientra in questo contesto il Google Play Security Reward Program (GPSRP) che, secondo un annuncio recentissimo di Google, verrà chiuso entro la fine di questo mese. Il GPSRP è nato nell’ottobre del 2017 per individuare diversi tipi di potenziali exploit, dall’esecuzione di codice remoto fino ai  furti dati, il tutto in un contesto delicato come quello di Google Play.

L’iniziativa, in partenza riservata a un selezionato numero di sviluppatori, offriva ricompense  variabili dai 1.000 ai 5.000 dollari a seconda del grado di pericolosità della vulnerabilità individuata. Con il passare degli anni, il GPSRP ha aperto la strada ad altri programmi bug bounty che hanno interessato diverse app e piattaforme come Alibaba, Amazon, Facebook, Shopify, Telegram, TikTok e non solo.

GPSRP chiude i battenti: perché per Google Play potrebbe non essere una buona notizia?

Uno snodo fondamentale per il GPSRP è stato, senza ombra di dubbio, l’agosto del 2019. In quel momento l’iniziativa ha iniziato a coprire tutte le app di Google Play con almeno 100 milioni di installazioni. Ciò ha portato a un aumento di ricompense variabili da 3.000 a 20.000 dollari per ogni bug individuato. Perché dunque la decisione di chiudere il programma?

Il GPSRP terminerà di esistere a causa del numero di vulnerabilità segnalate, ormai calato drasticamente. Per Google, di fatto, il programma si è rivelato un vero e proprio successo a tal punto da considerare lo stesso superfluo. La compagnia di Mountain View ha contattato i vari sviluppatori coinvolti via mail, avvertendo che dal 31 di agosto non sarà più possibile riscuotere ricompense.

Se sotto un punto di vista ciò è positivo, dall’altra potrebbe rivelarsi un vero e proprio boomerang per Google. Con gli sviluppatori poco incentivati alla ricerca, anche se poche, le vulnerabilità potrebbero essere individuate in ritardo rispetto al passato, causando dunque maggiori danni agli utenti.