Google ha anunciado la asociación con HackerOne para llevar a cabo un programa de recompensas de errores a la Play Store. Buscando eliminar vulnerabilidades con las aplicaciones Android, el programa Google Play Security Reward paga 1.000 dólares por los problemas informados que cumplan ciertos criterios.
Las aplicaciones que se incluyen actualmente en el programa de recompensas de seguridad de Google Play son Alibaba, Dropbox, Duolingo, Headspace, Line, Mail, Ru, Snapchat y Tinder. Cuando un problema es descubierto por un «hacker» (así se refiere Google al descubridor), deben reportarlo al desarrollador y trabajar con él para ayudar a resolverlo. Una vez que el problema esté resuelto, se pagará la recompensa.
Google también señala que el «equipo de Android Security emite una recompensa adicional al hacker para agradecerles por mejorar la seguridad dentro del ecosistema de Google Play».
Hay algunas cosas a tener en cuenta si estás esperando hacer una pequeña fortuna por descubrir bugs. La primera es que si reportas múltiples problemas que resultan estar relacionados, sólo se pagará una recompensa. En segundo lugar, el parcheo de los problemas debe ser informado a Google en un plazo de 90 días, o no habrá recompensa disponible. Google también tiene los siguientes criterios de vulnerabilidad:
Por ahora, el alcance de este programa se limita a vulnerabilidades RCE (remote-code-execution) y los correspondientes POC (Proof of concepts) que funcionan en dispositivos Android 4.4 y superior. Esto se traduce en cualquier vulnerabilidad RCE que permita a un atacante ejecutar código de su elección en el dispositivo de un usuario sin conocimiento o permiso del usuario.
Puede conseguir más información en la página del Programa Google Play Security Reward en el sitio web de HackerOne.