Google’ın Google Play Store’daki popüler Android uygulamaları için yedi yıllık hata ödül programı 31 Ağustos 2024’te sona erecek. Güvenlik araştırmacılarını güvenlik açıklarını bulup sorumlu bir şekilde ifşa ettikleri için ödüllendiren program, Android ekosisteminin güvenlik ortamını güçlendirmede temel taşlardan biri oldu.
Google Play Store’da sunulan milyonlarca indirilebilir uygulamadaki kusurları tespit ederek para kazanmak isteyen hata ödül avcılarının, başvurularını sunmak için artık iki haftadan az bir süresi var.
Google Play Store’un Hata Ödül Programının Tarihçesi
2017’de başlatılan Google Play Güvenlik Ödül Programı (GPSRP), araştırmacıları potansiyel güvenlik açıkları için popüler Android uygulamalarını titizlikle incelemeye teşvik etti. Kritik güvenlik açıkları için önemli ödüller sunarak Google, özel bir beyaz şapkalı bilgisayar korsanları topluluğunu uygulama güvenliğini artırmaya aktif olarak katkıda bulunmaya teşvik etti.
Başlangıçta program, uzaktan kod yürütme gibi en kritik güvenlik açıkları için 5.000 dolara kadar ödül sunan seçkin bir geliştirici ve uygulama grubuna odaklandı. Sonunda, 2019’da kapsam, platformda dağıtılan ve 100 milyondan fazla indirmeye sahip tüm uygulamaları içerecek şekilde genişletildi ve ödemeler 20.000 dolara ulaştı.
Ancak Google, araştırmacılara e-posta yoluyla yaptığı son duyuruda programı sonlandırma kararını açıkladı. Şirket bu hareketi, bildirilen eyleme geçirilebilir güvenlik açıklarındaki önemli düşüşe bağladı. Bu azalma büyük ölçüde Android işletim sistemi güvenliğindeki genel iyileştirmeye ve platformun kendisinde sağlam güvenlik önlemlerinin uygulanmasına atfediliyor.
Google, geçen mali yılda 2,28 milyon gizlilik ihlal eden uygulamayı engellediğini ve 333.000 kötü niyetli geliştirici hesabını yasakladığını, ayrıca Play Store’da başka iyileştirmeler yaptığını duyurdu.
Google, programı sonlandırma kararının Android güvenliğine olan bağlılığından bir gevşeme anlamına gelmediğini vurguladı. Şirket, temeldeki Android işletim sistemine odaklanan Android Vulnerability Rewards Program (AVRP) dahil olmak üzere çeşitli güvenlik girişimlerine yatırım yapmaya devam edecek.
GPSRP’nin sona ermesi, Google’ın Android uygulama güvenliğine yaklaşımında önemli bir değişimi işaret ediyor. Programın uygulama güvenliğini iyileştirmeye şüphesiz katkıda bulunduğu halde, sonlandırılması güvenlik açığı keşfinin geleceği ve Android ekosisteminin genel güvenlik duruşu hakkında soruları gündeme getiriyor.
Bu arada, uygulama geliştiricileri ve kullanıcıları da uygulama güvenliği en iyi uygulamaları konusunda dikkatli olmalıdır. Uygulamaları güncel tutmak, izinleri verirken dikkatli olmak ve şüpheli etkinliklere karşı dikkatli olmak, kişisel bilgileri ve cihaz güvenliğini korumada önemli adımlardır.
Google’ın Geliştiricilere Gönderdiği E-postanın Tam Metni
Değerli Araştırmacılar,
Umarım bu e-posta sizi iyi bulur. Geçtiğimiz birkaç yıl boyunca Google Play Güvenlik Ödül Programı’na hata gönderen hepinize içten şükranlarımı sunmak için yazıyorum. Katkılarınız Android ve Google Play’in güvenliğini iyileştirmemize yardımcı olmakta paha biçilmezdi.
Android işletim sistemi güvenlik duruşundaki genel artış ve özellik güçlendirme çabaları sonucunda, araştırma topluluğu tarafından daha az eyleme geçirilebilir güvenlik açığı bildirildi. Eyleme geçirilebilir güvenlik açıklarındaki bu azalma nedeniyle, GPSRP programını sonlandırıyoruz. GPSRP programı 31 Ağustos’ta sona erecek. O tarihten önce gönderilen tüm raporlar 15 Eylül’e kadar tasniflenecek. Son ödül kararları, programın resmi olarak sona erdiği 30 Eylül’den önce verilecek. Son ödemelerin işlenmesi birkaç hafta sürebilir.
Program sona ermeden önce tüm raporlarınızın inceleneceğini ve ele alınacağını temin etmek istiyorum. Katkılarınıza büyük değer veriyoruz ve belirlediğiniz tüm sorunların çözüldüğünden emin olmak istiyoruz.
GPSRP programına verdiğiniz destek için tekrar teşekkür ederiz. Android ve Google Devices Security Reward Program gibi programlarda bizimle çalışmaya devam edeceğinizi umuyoruz.
Saygılarımla,
Tony
Android Güvenlik Ekibi adına