La iniciativa, denominada Play Security Reward Program -o programa de recompensas para la seguridad de Play [Store]- estará disponible mediante la plataforma HackerOne, y no incluye las apps para Android desarrolladas por la propia Google.
Con ello, Google recompensará empresas de seguridad informática e investigadores independientes que logren vulnerar la seguridad de las aplicaciones desarrolladas por terceros, y distribuidas mediante la plataforma Play Store. La empresa recalca que sólo participan en el programa las apps más populares.
Las recompensas, por hackeo aprobado tendrán un importe máximo de US$ 1.000 y serán pagadas por la propia Google, es decir, no por los desarrolladores o propietarios de las apps. Inicialmente, el programa de recompensas sólo está disponible para un número reducido de desarrolladores, pero la empresa considerará nuevas ap dependiendo del desarrollo del programa.
Para su lanzamiento, el programa incluye 13 apps , distribuidas por ocho desarrolladores: Alibaba, Dropbox, Dulingo, Headspace, Line, Mail.ru, Snapchat y Tinder.
El programa de recompensas no afecta el procedimiento estándar de Play Store, mediante el cual se analizan todas las apps oficiales, en búsqueda de vulnerabilidades.
Limitaciones
Google aclara que el programa está limitado a vulnerabilidades de tipo RCE (remote-code-execution) y sus correspondientes pruebas de concepto. Asimismo, sólo se considerarán incidencias que afectan a dispositivos operados con Android 4.4 y versiones posteriores del sistema operativo móvil. Tampoco se aceptarán vulnerabilidades habilitadas por colusión; es decir, brechas creadas o facilitadas deliberadamente por los creadores de las apps.
Para acceder a las recompensas no será necesario eludir las protecciones de san nivel de sistema operativo para demostrar de funcionamiento de la vulnerabilidad RCE.
Los detalles del programa están disponibles en el portal Hacker One de Google.