Fue uno de los programas más populares desde su introducción en 2017, el de Recompensas de Seguridad de Google Play, que buscaba incentivar a los investigadores de seguridad a encontrar y divulgar de manera responsable las vulnerabilidades en las aplicaciones populares de Android.
Pero los incentivos monetarios se acabaron tras 7 años, y ahora Google no pagará más por la denuncia de problemas.
Cuando el programa se lanzó por primera vez, estaba limitado a un número selecto de desarrolladores a los que solo se les permitía enviar vulnerabilidades elegibles que afectaban a las aplicaciones de un pequeño número de desarrolladores participantes. Las vulnerabilidades elegibles incluyen aquellas que conducen a la ejecución remota de código o al robo de datos privados inseguros, con pagos que inicialmente alcanzan un máximo de $ 5,000 para las vulnerabilidades del primer tipo y $ 1,000 para el segundo tipo.
Incluso el Programa de Recompensas de Seguridad se amplió para cubrir a los desarrolladores de algunas de las aplicaciones de Android más importantes, como Airbnb, Alibaba, Amazon, Dropbox, Facebook, Grammarly, Instacart, Line, Lyft, Opera, PayPal, Pinterest, Shopify, Snapchat, Spotify, Telegram, Tesla, TikTok, Tinder, VLC y Zomato, entre muchas otras.
En un correo electrónico a los desarrolladores participantes, como Sean Pesce, la compañía anunció que el GPSRP finalizará el 31 de agosto.
La razón que dieron es que el programa ha visto una disminución en el número de vulnerabilidades procesables reportadas. Google atribuye este éxito al «aumento general en la postura de seguridad del sistema operativo Android y los esfuerzos de endurecimiento de funciones».
A continuación se reproduce el correo electrónico completo enviado a los desarrolladores:
«Estimados investigadores,Espero que este correo electrónico te encuentre bien. Les escribo para expresar mi más sincero agradecimiento a todos los que han enviado errores al Programa de recompensas de seguridad de Google Play en los últimos años. Sus contribuciones han sido invaluables para ayudarnos a mejorar la seguridad de Android y Google Play.Como resultado del aumento general en la postura de seguridad del sistema operativo Android y los esfuerzos de fortalecimiento de funciones, hemos visto menos vulnerabilidades procesables reportadas por la comunidad de investigación. Debido a esta disminución en las vulnerabilidades procesables reportadas, estamos reduciendo el programa GPSRP. El programa GPSRP finalizará el 31 de agosto. Todos los informes presentados antes de esa fecha se clasificarán antes del 15 de septiembre. Las decisiones finales sobre las recompensas se tomarán antes del 30 de septiembre, cuando el programa se suspenda oficialmente. Los pagos finales pueden tardar unas semanas en procesarse.Quiero asegurarles que todos sus informes serán revisados y abordados antes de que termine el programa. Valoramos mucho su opinión y queremos asegurarnos de que se resuelvan todos los problemas que haya identificado.Gracias de nuevo por su apoyo al programa GPSRP. Esperamos que continúes trabajando con nosotros, en programas como el Programa de Recompensas de Seguridad de Android y Google Devices.En nombre del equipo de seguridad de Android»