Encontrar una vulnerabilidad en una aplicación es bastante peligroso, sobre todo si es de las más populares con decenas o incluso cientos de millones de instalaciones. Por ello, Google ha decidido empezar a pagar a los usuarios que hackeen o encuentren vulnerabilidades en las aplicaciones más descargadas.

si encuentras vulnerabilidades en apps de la Play Store, tienes premio

Este plan, similar al de Microsoft, Apple o el de la propia Google con Chrome se llama Play Security Reward Program, y busca hacer un llamamiento a los hackers a que encuentren vulnerabilidades relacionadas con la ejecución remota de código (RCE) en las aplicaciones más populares de Android en versiones posteriores a Android 4.4 KitKat.

Además de encontrar las vulnerabilidades, es necesario adjuntar una prueba de concepto para demostrar cómo se puede explotar y demostrar así que funciona. Esto afecta a cualquier vulnerabilidad RCE que permita a una atacante ejecutar código arbitrario sin que el usuario le haya dado permiso, así como también sin que el usuario se dé cuenta, incluyendo ejemplos como:

• Posibilidad de que una atacante tome el control total del móvil a través de una app, permitiendo descargar código de la red y ejecutarlo (ya sea nativo, Java, etc).
• Manipulación de la interfaz para ejecutar transacciones bancarias, consiguiendo que una app de banco pueda hacer transacciones sin el permiso del usuario.
• Abrir una ventana web sin interacción del usuario que permita hacer ataques de phishing.

De momento sólo 8 desarrolladores aceptan este nuevo programa, pero llegarán más

El proceso para enviar vulnerabilidades es el siguiente:

• El investigador las descubre, y si se ajustan a lo descrito anteriormente, se envían a HackerOne.
• Los desarrolladores de la aplicación pasan a recibir la información y a trabajar con el investigador para resolver la vulnerabilidad.
• Una vez se resuelve, el investigador solicita el pago en el mismo enlace de HackerOne. El equipo de seguridad de Android pasa a enviarle el dinero y a agradecerle su labor.

Las cantidades que reciben los usuarios serán de 1.000 dólares por cada vulnerabilidad que cumpla los requisitos. En el futuro, Google está trabajando para incluir otro tipo de vulnerabilidades dentro de este programa.

Google tiene una tarea muy compleja entre manos a la hora de mantener la seguridad en la Play Store. A pesar de tener varios mecanismos de seguridad (Play Protect), se ve afectada por la aparición de aplicaciones que pueden ser consideradas como malware, a lo que ahora se une la posibilidad de que se utilicen aplicaciones que millones de personas tienen en sus móviles para explotar vulnerabilidades.

De momento, aplicaciones de 8 desarrolladores se han aceptado dentro de este programa: Alibaba, Dropbox, Duolingo, Headspace, Line, Mail.ru, Snapchat y Tinder. Google actualmente está trabajando para ampliar el número de desarrolladores incluidos dentro de este programa.

Esta es una de las novedades que Google anunció hoy para la Play Store. También se encuentran mejoras en la función de Instant Apps, que permiten probarlas con sólo darle a “Probar ahora” sin tener que instalarlas.