No ano passado, o programa de recompensas por bugs do Google concedeu pelo menos US$ 12 milhões a pesquisadores que descobriram falhas de segurança em seus produtos e serviços. Este valor é significativamente superior aos 8,7 milhões de dólares pagos em 2021 e espera-se que cresça nos próximos anos. A empresa está agora expandindo seus esforços de pesquisa de segurança com um novo programa direcionado a aplicativos de terceiros para Android.
No início deste mês, o Google atualizou o Vulnerability Bounty Program em Android e dispositivos Google (VRP), introduzindo um novo sistema para avaliar a qualidade dos relatórios de bugs e aumentando a recompensa máxima para encontrar vulnerabilidades críticas para US$ 15. A empresa explicou na época que isso tornaria mais fácil corrigir falhas de segurança em telefones pixels, dispositivos Google Nest e Fitbit, bem como no sistema operacional Android de forma mais oportuna.
Esta semana, a empresa lançou o Mobile Vulnerability Rewards Program (Mobile VRP), voltado para pesquisadores interessados em investigar a segurança de aplicações para Android, desenvolvido pelo Google ou outras empresas pertencentes ao grupo Alphabet.
O novo aplicativo classifica aplicativos de terceiros para Android em três níveis. O primeiro nível inclui os aplicativos mais importantes, como Google Play Services, Google Chrome, Gmail, Área de Trabalho Remota do Chrome, Google Cloud e AGSA (o widget da Pesquisa Google em Android). O segundo e terceiro níveis incluem aplicativos desenvolvidos pela divisão de pesquisa do Google, Google Samples, Red Hot Labs, Nest Labs, Waymo e Waze.
Quanto aos tipos de vulnerabilidades de segurança cobertos pelo programa Mobile VRP, o Google diz que está mais interessado em bugs que permitem a execução arbitrária de código e roubo de dados, então os engenheiros de segurança da empresa priorizarão esses relatórios. Ao mesmo tempo, a empresa também está procurando aprender sobre outras falhas de segurança que podem ser exploradas como parte das cadeias de exploração, incluindo travessia de caminho ou vulnerabilidades de travessia de arquivo zip, permissões órfãs e redirecionamentos deliberados que podem ser usados para iniciar arquivos não exportados componentes do aplicativo.
A recompensa depende da gravidade das vulnerabilidades descobertas e dos aplicativos afetados, e o Google está disposto a pagar até US$ 30 pela descoberta de vulnerabilidades que permitem aos invasores executar código remoto sem intervenção do usuário. As maiores recompensas pela descoberta de vulnerabilidades graves em os aplicativos de nível 000 e 2 custam $ 3 e $ 25 de acordo. O valor mínimo para uma denúncia qualificada é de US$ 000, mas o Google também pode aplicar um bônus de US$ 20 para denúncias excepcionais.
O programa de recompensas para correção de bugs do Google é um dos maiores da indústria de tecnologia, com US$ 2022 milhões pagos a pesquisadores de segurança somente em 12. A maior recompensa é de US$ 605 para um especialista que descobriu uma cadeia de explorações de cinco vulnerabilidades em Android.
Pesquisadores de segurança interessados em Mobile VRP podem encontrar mais detalhes aqui aqui. O Google diz que os relatórios devem ser concisos e incluir uma breve prova de conceito, se possível - algumas orientações sobre a melhor forma de enviar relatórios de bugs podem ser encontradas aqui aqui.
Leia também: