Google stopt op 31 augustus met bugbountyprogramma voor Android-apps van derden

Google stopt met het Google Play Security-bugbountyprogramma omdat er steeds minder kwetsbaarheden worden gemeld. Op 31 augustus wordt de stekker er definitief uitgetrokken. De laatste meldingen worden uiterlijk 15 september verwerkt.

Android Authority heeft een e-mail kunnen inkijken waarin Google de beslissing motiveert aan de aangesloten ontwikkelaars. Daarin staat dat de beveiliging van Android zou zijn toegenomen en dat er minder kwetsbaarheden worden gemeld door de community. Ontwikkelaars hebben tot 31 augustus de tijd om kwetsbaarheden in apps te melden. De meldingen worden uiterlijk 15 september gecontroleerd. Uiterlijk 30 september worden de beloningen uitgereikt. Eventuele betalingen kunnen volgens Google daarna nog enkele weken op zich laten wachten.

Het Google Play Security-bugbountyprogramma werd in 2017 opgestart. Het programma was bedoeld voor populaire apps, waarbij de ontwikkelaars van die apps zich moesten aanmelden bij Google om aan het programma mee te kunnen doen. Daarna konden hackers weer kwetsbaarheden melden bij Google, die de hackers beloonde. Bij de introductie van het programma loofde Google een bedrag van duizend dollar uit per gevonden kwetsbaarheid, mits deze aan de gestelde criteria voldeed. Dat bedrag kon nog verder oplopen. Het Google Play Security-bugbountyprogramma staat los van het bugbountyprogramma dat Google heeft voor zijn eigen apps.

IT-banen

Reacties (13)

Patrick1995

19 augustus 2024 15:50

Zo'n bugbountyprogramma heb je toch juist om aan de buitenwereld te laten zien dat je systeem zo veilig is, dat je zelfs bereid bent geld te betalen voor bugs?
Klinkt niet logisch om het op te heffen omdat je systeem te veilig is. Dat klinkt als: ik doe mijn voordeur niet meer op slot want er zijn weinig inbraken in mijn buurt.
Maar misschien worden er heel veel dingen gemeld die geen bugs zijn, en zijn ze daardoor veel tijd kwijt aan het uitzoeken van false positives.

Christoxz @Patrick1995 • 19 augustus 2024 16:24

Het staat los van de Google systemen, het ging om een bug bounty service voor apps die in de store staan.
Een bug zou eerst gerapporteerd moeten worden aan de App ontwikkelaar. Nadat de bug gefixed is (en ook all een uitbetaling is geweest van de ontwikkelaar) kan de melder nog een uitbetaling aan vragen, maar van Google.

Om een bug bounty op te strijken, moeten hackers de kwetsbaarheid eerst melden aan de maker van de desbetreffende app. Vervolgens zal de app-ontwikkelaar samenwerken met de hacker om de kwetsbaarheid op te lossen. Als dat is gedaan, mag de hacker zijn vinding melden bij het Google Play Security Reward Program.

De beloning van het Google Play Security Reward-programma komt bovenop de beloning die hackers krijgen voor het melden van de kwetsbaarheid bij de ontwikkelaar van de app zelf.

[Reactie gewijzigd door Christoxz op 19 augustus 2024 16:25]

HollowGamer @Patrick1995 • 19 augustus 2024 16:12

Voor een miljarden bedrijf als Google, lijkt me inderdaad niet het juiste om daarop te bezuinigen.

sdziscool 19 augustus 2024 15:23

Beetje vreemd, kost dit Google nou zoveel dat het het niet waard is? Dat lijkt mij onwaarschijnlijk, maar misschien zijn er een paar hele dure security experts hiervoor ingehuurd die nu in hun neus zitten te peuteren omdat ze niets te verifiëren hebben?
Nouja, gewoon wachten tot het weer foutgaat en het bounty programma zal dan opeens weer heel waardevol lijken voor de shareholders

CH4OS

Google

@sdziscool • 19 augustus 2024 15:34

Het kost misschien niet zo veel, maar er is blijkbaar of weinig incentive meer om dergelijke bugs in het bug bounty programma aan te melden, of er zijn gewoon geen grote kritische gaten meer, dat het nu echt veel moeite kost om dergelijke bugs te vinden, dat het daardoor zijn geld weer niet meer waard is voor 3rd parties.

Dan kan je als Google/Alphabet twee dingen doen, de bounty verhogen (maar dat kost meer en hey, Google is wel een bedrijf...), of het programma draai je de das om (en dat is dus wat Google gaat doen).

Al moet ik hier wel even aan toevoegen dat ik zo 1 2 3 ook niet weet hoeveel van de bugs die aangemeld zijn voor het bug bounty programma uiteindelijk daadwerkelijk geclassificeerd worden als een dergelijke bug en waarvoor Google dus uiteindelijk gaat uitbetalen.

[Reactie gewijzigd door CH4OS op 19 augustus 2024 15:37]

d3burt

@sdziscool • 20 augustus 2024 17:29

Hoe groot Google ook is, ze kunnen niet onbeperkt security analysten inzetten. Er is een beperkt aantal goede op de arbeidsmarkt. De capaciteit die in dit bug bounty programma gestoken wordt kunnen ze straks gebruiken om de capaciteitsgaten in hun andere activiteiten te dichten.

Iedereen die wel eens een responsible disclosure melding aan een gewoon bedrijf onder ogen krijgt, weet hoeveel van die effort verspild is. NCSC heeft zelfs een hele lijst van "bevindingen" uit de populaire security scan tools op de site gezet die je niet hoeft te melden.

De mooiste was een "kwetsbaarheid" in een mailserver van een klant, die ook voor zijn eigen mailserver gold... Wat was die teleurgesteld dat hij er geen bug bounty voor kreeg...

MoonRaven

19 augustus 2024 15:34

"Google stopt met het Google Play Security-bugbountyprogramma omdat er steeds minder kwetsbaarheden worden gemeld."

Oké, dat zal nu dus nog minder gaan worden. Lijkt mij juist niet handig.. Kost het operationeel houden zoveel geld?

[Reactie gewijzigd door MoonRaven op 19 augustus 2024 15:34]

CH4OS

Google

@MoonRaven • 19 augustus 2024 17:06

Tja, aan de andere kant kan je je dan ook afvragen of het nog zinvol is om een bug bounty melding te doen; intussen kan het best veel tijd kosten eer een gevonden bug dus geclassificeerd wordt als iets waarop de bug bounty van toepassing is. Als daardoor de lat hoog ligt, wegen de kosten (tijd die de 3rd party er in steekt) niet op tegen de baten (het levert minder op) en worden ook geen bugs gemeld; het loont de moeite niet meer. Dan is het aan Google om te kijken en te besluiten wat men wilt. Als blijkt dat het merendeel van de gemelde bugs op de stapel "valt niet onder bug bounty" terecht komt dan wel "is geen bug", dan is een besluit natuurlijk ook snel genomen.

sdziscool @MoonRaven • 19 augustus 2024 15:43

je kan het gewoon zo adverteren:

juni: 50 bugs
juli: 29 bugs
augustus: 30 bugs
september: 25 bugs
oktober: 0 bugs
november: 0 bugs
december: 0 bugs

heel goed voor de statistieken, gelijk minder bugs!

HollowGamer @sdziscool • 19 augustus 2024 16:11

Je kunt ook zeggen 'het is geen bug, het is zo gemaakt'.

Geen idee wat ze precies allemaal met dit programma deden, maar misschien worden er minder exploits gemeld, omdat het op een andere markt meer oplevert?

supersnathan94

19 augustus 2024 18:46

Voor alle mensen die het artikel niet helemaal duidelijk vonden:

Dit staat lost van Google services of google apps. Daar is nog steeds een bug bounty programma voor.

Dit gaat om een platform waar 3rd party ontwikkelaars aan mee kunnen doen (Zoals een Microsoft of Facebook) en gaat dan ook om bugs in hun apps. Dit platform gaf een extra incentive (betaald door google) om in die populaire apps bugs te vinden, want na het melden bij die third party kon je dus van google nog een extra bonus ontvangen als het een ernstige bug was.

Google heeft dit programma dus in het leven geroepen om apps van derden beter te beveiligen. Dat is natuurlijk ook weer een pluspunt voor het android ecosysteem, want crappy en onveilige apps is wel het laatste waar je je naam aan wil verbinden.

mutley69 19 augustus 2024 22:28

Ze hebben dus een cocosnoot van Kamala gekregen op hun hoofd? (in Bounty zit coco - vandaar...)

Op dit item kan niet meer gereageerd worden.

Google stopt op 31 augustus met bugbountyprogramma voor Android-apps van derden

Lees meer

IT-banen

Reacties (13)

Sorteer op:

Weergave: