Google anuncia programa de recompensas para los bugs de Android

Facundo Rojo Gil, CISA,CISM, Director General – VINTEGRIS

Facundo Rojo Gil, CISA,CISM, Director General – VINTEGRIS

Google ha anunciado que va a comenzar a pagar los investigadores para obtener información acerca de las vulnerabilidades que afectan al sistema operativo Android.

Las recompensas ofrecidas para errores de seguridad de Android son incrementales. Para las vulnerabilidades que afectan a los teléfonos Nexus y tabletas disponibles para la venta en Google Play (actualmente Nexus y Nexus 6 9), van a pagar por cada paso necesario para corregir un error de seguridad, incluyendo los parches y las pruebas.

Por ejemplo, la cantidad de recompensa base para un error crítico es de u$s 2.000. Si el informe de error incluye código reproducción independiente o un caso de prueba independiente (por ejemplo, un archivo con formato incorrecto), la línea de base se eleva a u$s 3.000. Si se incluye un parche o una prueba de CTS, se eleva a u$s 4.000. Si ambos están incluidos, el premio mínimo es de u$s 8.000.

Además de estos niveles de recompensa, ofrecerán recompensas adicionales para exploit funcionales, para lo cual la compañía señala las reglas para obtener rédito. Un exploit o cadena de exploits que conducen al núcleo comprometido de una aplicación instalada o con acceso físico al dispositivo recibirá hasta un adicional de u$s 10.000. Un vector de ataque a distancia puede obtener hasta u$s 20.000 de recompensa.

Los investigadores serán recompensados ​​por flaggin errores en el código AOSP, códigos OEM (bibliotecas y los controladores), el núcleo, y el sistema operativo y los módulos TrustZone. Errores que requieren la interacción del usuario complejo con el fin de ser explotados, los bugs de las aplicaciones y varias otras clases de vulnerabilidades no calificarán para una recompensa.

Android seguirá participando en el Programa de Recompensas de parches de Google que paga por las contribuciones que mejoran la seguridad de Android (y otros proyectos de código abierto).

Por Facundo Rojo Gil, CISA,CISM, Director General – VINTEGRIS