Nach fast sieben Jahren stellt Google das Google Play Security Reward Program ein. Das Programm wurde Ende 2017 ins Leben gerufen, um Sicherheitsforscher zu motivieren, Schwachstellen in populären Android-Apps zu finden und verantwortungsvoll offenzulegen. Google begründet die Einstellung des Programms mit einem Rückgang der von Sicherheitsforschern gemeldeten, umsetzbaren Sicherheitslücken.
Seit dem Start des Programms hat sich der Umfang stetig erweitert. Anfangs konnten nur ausgewählte Entwickler Schwachstellen in Apps einer begrenzten Anzahl teilnehmender Entwickler einreichen. Im Laufe der Jahre kamen immer mehr namhafte Unternehmen wie Airbnb, Amazon, Facebook, Spotify und TikTok hinzu. Ab August 2019 deckte das Programm alle Apps im Google Play Store mit mindestens 100 Millionen Installationen ab.
Die durch das Belohnungsprogramm gesammelten Daten nutzte Google, um automatisierte Überprüfungen zu entwickeln, die alle verfügbaren Apps im Play Store auf ähnliche Schwachstellen scannen. Laut Google halfen diese Checks über 300.000 Entwicklern, mehr als eine Million Apps zu verbessern und so die Sicherheit für alle Android-Nutzer zu erhöhen.
Trotz dieser Erfolge sieht Google nun offenbar den Zeitpunkt gekommen, das Programm auslaufen zu lassen. In einer E-Mail an teilnehmende Entwickler heißt es, dass aufgrund der allgemeinen Verbesserung der Android-Sicherheit und Bemühungen zur Härtung von Features weniger umsetzbare Schwachstellen gemeldet wurden. Das Programm endet offiziell am 30. September 2024.
Die Einstellung des Google Play Security Reward Program ist ein zweischneidiges Schwert. Einerseits deutet es darauf hin, dass populäre Apps ihre Sicherheit verbessert haben. Andererseits fehlt nun für manche Sicherheitsforscher der Anreiz, zukünftige Schwachstellen verantwortungsvoll offenzulegen, insbesondere wenn die betroffenen Apps von Entwicklern stammen, die kein eigenes Bug-Bounty-Programm anbieten.
Es bleibt abzuwarten, ob Google alternative Wege findet, um die Sicherheit im Play Store auch ohne direkte Belohnungen für Forscher hochzuhalten. Für Nutzer gilt weiterhin, Apps nur aus vertrauenswürdigen Quellen zu installieren und regelmäßig zu aktualisieren, um von Sicherheitsverbesserungen zu profitieren. Dass Google bei für den Play Store eingereichten Apps immer mal wieder Schadsoftware durchrutscht, ist schließlich ein offenes Geheimnis.