Google heeft een zogeheten bug bounty programma dat hackers uitnodigt om kwetsbaarheden in Android te ontdekken, waar een geldbeloning tegenover staat. Dat initiatief geldt nu ook voor apps in de Play Store die niet van Google zelf zijn.
Apps in kwestie moeten wel populair genoeg zijn. Alleen wanneer ze vaker dan 100 miljoen keer zijn gedownload, tellen ze mee. Zodra een lek is gevonden, meldt de vinder dit bij Google. Die krijgt daarvoor een beloning van maximaal 20.000 dollar, afhankelijk van de ernst van de kwetsbaarheid. Gemiddeld wordt er echter ‘maar’ 500 dollar per lek uitgedeeld.
Google neemt vervolgens contact op met de makers van de app, die de mogelijkheid krijgen de boel te repareren. Doen ze dat niet, dan wordt de app uit de Play Store verwijderd. Ieder lek met bijbehorende oplossing wordt toegevoegd aan een grote database, waar app-ontwikkelaars toegang tot hebben. Het idee is dat op die manier niet telkens dezelfde fouten worden gemaakt.
Uitbreiding
Sinds 2017 heeft Google op deze manier al meer dan 30.000 app-bouwers bijgestaan om meer dan een miljoen apps te verbeteren. In totaal is er meer dan 265.000 dollar uitbetaald aan ethische hackers. Het bug bounty programma omvat sinds kort ook Chrome-extensies.