Google está ampliando el programa de recompensas de errores de Android con nuevas categorías de exclusión de datos y bloqueo de pantalla, así como una recompensa de 1 millón de dólares por vulnerabilidades críticas dirigidas al chip Titan M.
En los últimos 12 meses, Google ha pagado más de 1,5 millones de dólares en recompensas por recompensas de recompensas por errores y más de 4 millones de dólares por más de 1.800 informes desde el lanzamiento del programa en 2015.
La mayor recompensa ha sido para Guang Gong (@oldfresher) de Alpha Lab, Qihoo 360 Technology Co. Ltd para una “cadena de explotación de ejecución remota de código en el dispositivo Pixel 3”. Gong recibió $161,337 del programa Android Security Rewards y $40,000 adicionales de Chrome Rewards por un total de $201,337.
A partir de ahora, Google está ampliando el programa ofreciendo una recompensa de 1 millón de dólares por desarrollar una “cadena completa de ejecución remota de código que explota con persistencia” que compromete el chip seguro Titan M en los dispositivos Pixel. Esto es más que el premio previamente más alto de 200.000 dólares por una vulnerabilidad crítica que compromete el Entorno de Ejecución de Confianza (TEE) de Pixel.
Además de la recompensa de 1 millón de dólares, Google también ofrece una recompensa adicional del 50% por las vulnerabilidades que se encuentran en determinadas previsualizaciones de desarrolladores de Android, con lo que la recompensa potencial máxima asciende a 1,5 millones de dólares.
Titan M es un chip de hardware introducido en los teléfonos Pixel en 2018 que Android utiliza para proteger los datos y las operaciones confidenciales, incluyendo el cargador de arranque, el cifrado del disco, las contraseñas y las transacciones seguras.
“Hoy, estamos expandiendo el programa y aumentando los montos de las recompensas”, declaró Google en su anuncio. “Estamos introduciendo un premio máximo de 1 millón de dólares por una cadena completa de ejecución remota de código con persistencia que compromete el elemento de seguridad Titan M en los dispositivos Pixel. Además, lanzaremos un programa específico que ofrece una bonificación del 50% por los exploits encontrados en versiones anteriores de Android para desarrolladores específicos, lo que significa que nuestro premio máximo es ahora de 1,5 millones de dólares”.
Además de los aumentos de recompensas mencionados anteriormente, Google también ha anunciado dos nuevas categorías que los investigadores pueden seguir para obtener recompensas por vulnerabilidad.
La primera categoría son las vulnerabilidades de extracción de datos, que permiten a los atacantes acceder a los datos de un dispositivo y robarlos transfiriéndolos a una ubicación controlada por el atacante.
La segunda categoría que se agrega es la de las derivaciones de la pantalla de bloqueo, que se utiliza para acceder a un dispositivo bloqueado sin conocer el código de acceso del usuario.
Estas nuevas categorías otorgarán a los investigadores hasta 500.000 dólares, dependiendo de la categoría de explotación.
Con información de: Yahoo.
Spanish
English
Portuguese
Chinese (Simplified)
Russian
French
German
Dutch
Italian