Sklep Google Play zawsze budził w nas mieszane uczucia. Z jednej strony ma on świetny asortyment aplikacji, którym nigdy nie mógł pochwalić się np. Sklep Windows. Z drugiej strony ma on ciemną stronę — pośród tych naprawdę przydatnych aplikacji znajdują się dziesiątki, jeśli nie setki tysięcy produktów "wątpliwej jakości". Zasady stosowane od wielu lat przez Google wskazywały, że ten idzie w ilość. Na szczęście od pewnego czasu obserwujemy też zmiany jakościowe.
Już jakiś czas temu pisaliśmy, że Google nie radzi sobie ze złośliwymi reklamami w Sklepie Play oraz że można w nim nadziać się na fałszywą aplikację Samsung Updates, która próbuje wyłudzać pieniądze za coś, co oferowane jest normalnie za darmo. Również nietrudno tam o aplikacje, które nadużywają uprawnień. By je skuteczniej zwalczać, Google uruchomił program z nagrodami o nazwie Developer Data Protection Reward Program. Obejmuje on nie tylko aplikacje ze Sklepu Play, ale też projekty OAuth i rozszerzenia dla Chrome. Jeśli dostarczymy w nim dowodów nadużyć na poziomie danych, firma wypłaci nam nawet do 50 tysięcy dolarów.
Przykładowo można zgłosić aplikację, która ma zezwolenie na dostęp do SMS, ale dzieli się tymi danymi z podmiotami zewnętrznymi w celach marketingowych. Innym przykładem może być aplikacja, która ma dostęp do listy zainstalowanych aplikacji i nie traktuje tych danych jako "danych wrażliwych" zgodnie z zasadami prywatności Google. Przykłady naruszeń to również:
- Aplikacja świadcząca usługi podróżnicze, wykorzystująca lub transferująca dane użytkownika niezwiązane z podróżą.
- Aplikacja transferująca dane użytkownika, by pomagały rozwijać nowe produkty.
- Aplikacja korzystająca lub udostępniająca dane użytkownika w celu targetowania tego użytkownika przez reklamy.
- Deweloper aplikacji pozwalający pracownikom czytać dane użytkowników bez ich zgody.
- Rozszerzenie, które nie ma interaktywnych elementów interfejsu wyświetlanych użytkownikowi, ale zbiera dane aktywności z przeglądania sieci w tle w innych celach, w tym oferując nagrody użytkownikowi.
- Dowolne rozszerzenie, które publicznie ujawnia dane uwierzytelniania, finansowe lub dotyczące płatności (przykładowo wysyłając je poprzez HTTP).
- Rozszerzenie, którego jedynym celem jest dodawanie motywów do popularnych stron społecznościowych, anonimowo pobierające liczbę znajomych użytkownika w celach handlowych lub badawczych, nie ujawniając tego użytkownikom.
- Aplikacja z dostępem do danych telefonu lub kontaktów, nietraktująca tych danych jako osobowych lub wrażliwych zgodnie z wymaganiami ujętymi w zasadach Google.
- Używanie danych kontaktowych bez zgody użytkownika przez inną usługę, niepowiązaną z oryginalną aplikacją (np. wymaganie informacji kontaktowych i użycie ich w oddzielnej firmie lub aplikacji).
Developer Data Protection Reward Program (DDPRP) będzie funkcjonował równolegle z Google Play Security Reward Program (GPSRP), czyli programem, który pozwolił firmie stworzyć zautomatyzowany system rozpoznający podatności w aplikacjach. Mowa tu o programie App Security Improvement (ASI), który od czasu uruchomienia pomógł ponad 300 tys. deweloperów poprawić ponad milion aplikacji. GPSRP wypłacić dotąd ponad 265 tys. dolarów nagród. Ile zaś wypłaci DDPRP? To zależy od ilości i wagi zgłoszonych nadużyć.
