“Araştırma topluluğu tarafından daha az eyleme dönüştürülebilir güvenlik açığı bildirildi” ve Google artık GPSRP programının Play Store’u güvenli tutmak için gerekli olmadığını düşünüyor.
Google Play Güvenlik Ödül Programı, yedi yıl boyunca kendini sürdürme ve Android Play Store kullanıcılarını koruma çabalarının ardından sona eriyor. Google’ın hata ödül programı sonlandırılıyor, bu da şirketin Play Store’a gelen uygulamalarda hata bulan kişileri artık ödüllendirmeyeceği anlamına geliyor. Google Play Güvenlik Ödül programının (GPSRP) sona ermesi, “bildirilen eyleme dönüştürülebilir güvenlik açıklarındaki azalma” ile ilişkilendirildi ve bunun sonucunda program 31 Ağustos’ta sona erecek.
Google Play Güvenlik Ödülü Sona Erdi – 1.000.000’den Fazla Uygulamaya Yardım Edildi
Google Play Güvenlik Ödül Programı, Google’ın kullanıcılarına sağladığı uygulamaların güvenliğini artırmanın bir yolu olarak başladı. Geliştiriciler ne kadar titiz olursa olsun, hatalar beklenmedik şekilde ortaya çıkabilir ve bazı masum hatalar yalnızca alışılmadık aksaklıklara neden olurken, daha tehlikeli olanlar kullanıcıları veri kaybına ve cihazlarında kalıcı hasara karşı savunmasız bırakabilir. Uygulama geliştiricileri geleneksel olarak kendi uygulamalarını hatalar açısından inceler veya geliştiricileri uygulamalarıyla ilgili herhangi bir sorun bildirdikleri için ödüllendirdikleri hata ödül programları uygular.
Google, mağazalarındaki uygulamalar için geliştiricilere ek ödül vererek bunu bir adım öteye taşıdı ve bunun, uygulamaların kendilerinin sağladığı geliştirici güvenlik açığı ödül programlarına ek olarak bir bonus ödül ödeyen ilk program olduğunu belirtti.
Google Play Güvenlik Ödül Programı (GPSRP), Google Play tarafından belirli popüler Android uygulamalarının geliştiricileriyle iş birliği içinde sunulan bir güvenlik açığı ödül programıdır. Google Play’deki uygulamaları daha güvenli hale getirmek için zamanlarını ve çabalarını harcayan güvenlik araştırmacılarının katkılarını takdir eder.
Programın amacı, Google Play’deki uygulamalardaki güvenlik açıklarını tespit edip azaltmak ve Android kullanıcılarını, geliştiricilerini ve Google Play ekosistemini güvende tutmaktır.
—Google Hata Avcıları Yönergeleri
Şirket, “GPSRP 7 yıl sonra hedefine ulaştı” açıklamasının ardından programı yaşatmaya gerek olmadığını düşünüyor.
Google Play Güvenlik Ödül Programının Tarihçesi
GPSR programı, Google Play Store üzerinden dağıtılan Android uygulamalarındaki güvenlik açıklarını arayabilen güvenlik uzmanlarına teşvik sağlamak için Ekim 2017’de tanıtıldı. Başlangıçta program sınırlı sayıda geliştiriciyle sınırlıydı ve yalnızca sınırlı sayıda uygulamadaki sorunları tespit ettikleri için ödül alabiliyorlardı. Android YetkisiZamanla programın kapsadığı uygulamalar Grammarly, PayPal, Amazon, Snapchat, Tinder vb. gibi uygulamaları da kapsayacak şekilde önemli ölçüde genişledi.
2019’un ilerleyen dönemlerinde, Google Play Güvenlik Ödül Programı mağazadaki en az 100 milyon yüklemeye sahip tüm uygulamalara genişletildi ve bir sorun tespit etme ödülü de 20.000 ABD dolarına çıkarıldı. Google, geliştiricilerin bulmasının beklendiği hata türlerini ayrıntılı olarak açıklayan ayrıntılı bir program kuralları setine sahipti.
Yönergeler ayrıca, raporlarının bir kopyası olması veya SDK ve kütüphane güvenlik açığı sorunları tespit edilmesi durumunda ne olacağını da açıkladı. Tespit edilen bilinen sorunlar için Google, tam ödül almaya hak kazanmasalar bile, muhabirin çabasını takdir etmek için ödülü 500 ABD doları ile sınırladı.
Google, şunu belirtti: programdan gelen veriler otomatik kontroller oluşturmak için kullanıldı platformdaki uygulamaları harici bir incelemeye gerek kalmadan incelemek için kullanılabilecek bir platform. Şirket, 2019 yılında yapılan kontroller 300.000’den fazla geliştiricinin 1.000.000’dan fazla uygulamayı düzeltmesine yardımcı oldu.
O zamandan bu yana, muhtemelen çok daha fazla sayıda uygulama geliştiricisi bu modelden ve daha önce diğer uygulamaların karşılaştığı ortak sorunları tespit eden otomatik kontrollerden faydalandı.
Google’ın Hata Ödülü Programı Sonlandırıldı, Sırada Ne Var?
Google Play Güvenlik Ödül Programı 31 Ağustos 2024’te sona erecek. Bu tarihten önce gönderilen raporlar 15 Eylül’e kadar değerlendirilecek ve nihai ödül kararları Google hata ödülünün resmi olarak sonlandırılacağı tarih olan 30 Eylül’den önce verilecek. Bu, geliştiricilerin program kapatılmadan önce ödül kazanmak için keşfedilen güvenlik açıklarına ilişkin raporlarını göndermeleri için bir haftadan biraz fazla süreleri olduğu anlamına geliyor.
Google hata ödül programını sonlandırırken, birçok uygulama geliştiricisinin bir hata tespit edildiğinde doğrudan bildirilebilecek kendi ödül sistemleri versiyonları vardır. Bir ödül sistemi olmasa bile, bir güvenlik açığı fark eden kişiler kullanıcıları güvende tutmak için doğrudan geliştiriciye bildirebilmelidir. Google Play Güvenlik Ödüllerinin sonlandırılmasının sorunu, geliştiricilerin artık programları güvenlik açıkları açısından taramak için zaman harcamalarına gerek kalmayacak olmasıdır.
Google Play programının sona ereceği haberi, kuruluşun artık uygulama güvenliğine öncelik vermeyeceği anlamına gelmiyor. Google Play Güvenlik Ödül Programı, şirketin güvenlik önlemlerinin yalnızca küçük bir parçasıydı ve mağazaya gelen uygulamaların incelemesine ek bir katman ekliyordu.
Google, hileli ve tehlikeli uygulamaları kontrol etmek ve bunları sistemden filtrelemek için her zaman sağlam bir sisteme sahipti ve bazı kötü amaçlı uygulamalar hala sisteme girse de sistem kapsamlıdır. 2023’te Play Store sahibi, 2,28 milyon politika ihlal eden uygulamanın Google Play’de yayınlanmasını engellediğini ve ihlaller nedeniyle 333 bin kötü hesabı Play’den yasakladığını iddia etti.
Geliştiriciler, Google’ın diğer güvenlik özelliklerinin desteğiyle kendi uygulama güvenliklerini sürdürmekten sorumlu olmaya devam edecekler. Android ve Google Cihazları Güvenlik Ödül Programı ve Google Mobil Güvenlik Açığı Ödül Programı da hata avcılarının faydalanması için mevcuttur. Şirketin dahili güvenlik ekibinin, platformu güvenli tutmada GPSRP programından daha fazla rolü olması muhtemeldir, bu nedenle programdan uzaklaşma ilk başta duyulduğu kadar endişe verici olmayabilir.