La seguridad en el espacio móvil es crítica. Con miles de millones de usuarios allá afuera, los desarrolladores de aplicaciones y sistemas operativos deben trabajar juntos para brindar una experiencia robusta frente al avance de campañas cada vez más creativas y maliciosas. En su último evento Playtime, la gente de Google anunció el programa Google Play Security Reward, bajo el cual promete un pago extra de 1.000 dólares a quien encuentre vulnerabilidades en algunas de las apps más importantes del ecosistema Android, incluyendo a Snapchat, Tinder y Dropbox.
Ya casi no quedan dudas al respecto: Una de las mejores formas (por no decir «la mejor») de estimular la búsqueda y detección de bugs en software esencial es ofreciendo recompensas que valgan la pena para los involucrados. Los descubrimientos más importantes suelen estar a cargo de compañías dedicadas por completo a la seguridad informática, pero el esfuerzo de los investigadores independientes es fundamental a la hora de proteger nuestros programas y sistemas operativos preferidos. En el caso de Android, su dimensión actual demanda acciones específicas, y una de ellas es la que anunció Google durante el evento oficial Playtime la semana pasada.
El gigante de Mountain View decidió unir fuerzas con HackerOne para lanzar el Google Play Security Reward Program, que promete una recompensa de 1.000 dólares por vulnerabilidad descubierta. El mecanismo funciona así: El investigador descubre un bug en una de las apps que participan del programa, y lo reporta a su desarrolladores siguiendo las vías oficiales. Ambas partes trabajan para corregir el problema, y una vez marcado como solucionado, Google realiza el pago. A Mountain View no le interesa saber sobre el bug: El programa se limita a la solicitud de bonificaciones especiales, aunque carga con varias reglas. Una de ellas es que sólo acepta vulnerabilidades que habilitan la ejecución remota de código con su correspondiente prueba de concepto en dispositivos Android 4.4 o superior.
¿Cuáles son las apps a investigar? De momento son ocho: Alibaba, Duolingo, Dropbox, Headspace, Line, Snapchat, Tinder, y el servicio Mail.ru. Por lo que hemos podido comprobar, sólo calificarán aquellas entradas corregidas dentro de los 90 días. En otras palabras, ¡comienza a hackear! Tal vez haya 1.000 dólares con tu nombre esperando en una de esas apps.
