La seguridad de las aplicaciones que descargamos desde la Tienda de Apps de Google es algo que siempre damos por sentado. Sin embargo, hechos como los vividos hace unas horas con CamScanner y su app ponen de relieve que aún queda mucho trabajo por hacer.
Que una aplicación albergue _malware_ en su interior y provoque la retirada de Google Play Store parece que ha servido de acicate para que la empresa de Mountain View se decida a mejorar el sistema de protección que ofrece. Y en este caso lo hace ampliando el que premia a aquellos que encuentren apps con algún código malicioso.
Ahora las apps de los 100 millones de descargas
Y es que Google ha anunciado que amplía la cobertura que da a este tipo búsqueda de amenazas, pues ahora el sistema de recompensas por descubrir un error o riesgo da cobertura a todas las aplicaciones con 100 millones de descargas o más.
Este sistema, llamado Programa de Recompensas de Seguridad de Google Play (GPSRP) , existía desde hace tiempo y el objetivo número uno era el de incentivar a los investigadores a descubrir importantes vulnerabilidades por medio de recompensas. Algo así como un se busca, vivo o muerto que ahora mejora con la llegada del nuevo Programa de Recompensas de Protección de Datos para Desarrolladores (DDPRP).
Para llevar a cabo sus objetivos, Google Play cuenta con HackerOne y con la participación de algunos de los desarrolladores de aplicaciones más populares de Android. Estos han ido ampliándose con el paso del tiempo desde un grupo inicial bastante reducido.
La diferencia es que la forma de proceder cambia y si anteriormente sólo se podía acceder a una recompensa por medio de las vulnerabilidades enviadas a los propios programas de los desarrolladores de aplicaciones, ahora los desarrolladores pueden revelar problemas con cualquier aplicación que tenga más de 100 millones de descargas directamente al Programa de Recompensas de Seguridad de Google Play .
"Estamos aumentando el alcance de GPSRP para incluir todas las aplicaciones en Google Play con 100 millones o más de instalaciones. Estas aplicaciones ahora son elegibles para recompensas, incluso si los desarrolladores de la aplicación no tienen su propia divulgación de vulnerabilidad o programa de recompensa por errores".
Una vez puesta en conocimiento del desarrollador, la compañía luego trabaja con el mismo para corregir estos errores. Además, si un desarrollador de aplicaciones tiene una divulgación pública de vulnerabilidades o un programa de recompensas de errores, puede solicitar la recompensa a este programa siempre que el desarrollador ya haya confirmado que la vulnerabilidad se ha solucionado en los últimos 90 días. La aplicación debe tener más de 100 millones de instalaciones.
Estos programas tienen como objetivo aquellas "situaciones en las que los datos del usuario se usan de forma indebida, o se reutilizan de manera ilegítima sin el consentimiento del usuario. Buscan evitar, en la medida de lo posible, que en Google Play sigan existiendo aplicaciones con Malware y que de darse, estas sean descubiertas lo antes posible.
Más información | Blog de Google
Ver 2 comentarios