Google gaat beveiligingsonderzoekers voortaan ook beloningen uitkeren als zij lekken vinden in apps van derde partijen. Die moeten in de Play Store staan en daar meer dan honderd miljoen installaties hebben.
Google breidt daarmee zijn Google Play Security Reward Program of GPSRP verder uit. Dat programma keert bug bounties uit aan ontwikkelaars en beveiligingsonderzoekers die lekken vinden in apps in de Play Store. Tot voorheen kon dat alleen bij apps die door de originele makers zelf waren aangemeld bij het programma. Google verbreedt de scope van het programma zodat iedere app met meer dan honderd miljoen downloads automatisch in aanmerking komt voor een beloning van Google zelf. Dat geldt ook als de makers van de app zelf geen bug bounty-programma hebben. Als zij dat wél hebben maken de ontdekkers kans een beloning dubbel te ontvangen.
Google zegt dat ontwikkelaars een melding krijgen via de Play Console als een lek is ontdekt. Dat is onderdeel van het App Security Improvement-programma, schrijft het bedrijf in een blogpost. Volgens Google heeft het programma inmiddels bugs verholpen in meer dan een miljoen apps van meer dan 300.000 ontwikkelaars. Via het Security Reward Program is bovendien al meer dan 265.000 dollar uitgekeerd, waarvan 75.500 dollar in juli en augustus van dit jaar.
Naast het uitbreiden van het GPSRP begint Google ook een ander, nieuw programma. Het Developer Data Protection Reward Program of DDPRP is een samenwerking met HackerOne. Het programma is bedoeld om datamisbruik in apps op te sporen. Dat geldt overigens ook voor OAuth-projecten, Googles api's, en Chrome-extensies. Het gaat om software die gebruikersdata onterecht verzamelt, gebruikt of doorverkoopt zonder dat de gebruiker daar vanaf weet. Onderzoekers die zulk datamisbruik in Google-diensten ontdekken kunnen daarvoor een beloning krijgen. Google zegt dat er op dit moment nog geen definitieve beloningslijst of een maximale beloning vastgesteld is, maar zegt tegelijkertijd wel dat onderzoekers 50.000 dollar of 45.000 euro kunnen krijgen voor een melding.