E o Google lançou o Mobile Vulnerability Rewards Program, um programa de recompensas por bugs para seus aplicativos Android.
Sim. O Google lançou o Mobile Vulnerability Rewards Program (Mobile VRP), um novo programa de recompensas por bugs que pagará pesquisadores de segurança por falhas encontradas nos aplicativos Android da empresa.
Google lançou o Mobile Vulnerability Rewards Program
Como a empresa disse, o principal objetivo por trás do Mobile VRP é acelerar o processo de encontrar e corrigir pontos fracos em aplicativos Android desenvolvidos ou mantidos pelo Google.
“Estamos entusiasmados em anunciar o novo Mobile VRP! Estamos procurando bughunters para nos ajudar a encontrar e corrigir vulnerabilidades em nossos aplicativos móveis”, twittou o Google VRP.
Os aplicativos no escopo do Mobile VRP incluem aqueles desenvolvidos pela Google LLC, Developed with Google, Research at Google, Red Hot Labs, Google Samples, Fitbit LLC, Nest Labs Inc, Waymo LLC e Waze.
A lista de aplicativos no escopo também contém o que o Google descreve como aplicativos Android de “Nível 1”, que inclui os seguintes aplicativos (e seus nomes de pacote):
- Google Play Services (com.google.android.gms)
- AGSA( com.google.android.googlequicksearchbox)
- Google Chrome (com.android.chrome)
- Google Cloud (com.google.android.apps.cloudconsole)
- Gmail (com.google.android.gm)
- Chrome Remote Desktop (com.google.chromeremotedesktop)
As vulnerabilidades qualificadas incluem aquelas que permitem a execução arbitrária de código (ACE) e roubo de dados confidenciais, e pontos fracos que podem ser encadeados com outras falhas para levar a um impacto semelhante.
Isso inclui permissões órfãs, path traversal ou falhas de zip path traversal que levam à gravação arbitrária de arquivos, redirecionamentos de intenção que podem ser explorados para iniciar componentes de aplicativos não exportados e bugs de segurança causados pelo uso inseguro de intenções pendentes.
O Google diz que recompensará no máximo US$ 30.000 pela execução remota de código sem interação do usuário e até US$ 7.500 por bugs que permitem o roubo remoto de dados confidenciais.
| Categoria | 1) Remoto/sem interação do usuário | 2) O usuário deve seguir um link que explora o aplicativo vulnerável | 3) O usuário deve instalar o aplicativo malicioso ou o aplicativo da vítima está configurado de maneira não padrão | 4) O invasor deve estar na mesma rede (por exemplo, MiTM) |
|---|---|---|---|---|
| Execução de Código Arbitrário | $ 30.000 | $ 15.000 | $ 4.500 | $ 2.250 |
| Roubo de dados confidenciais | $ 7.500 | $ 4.500 | $ 2.250 | $ 750 |
| Outras vulnerabilidades | $ 7.500 | $ 4.500 | $ 2.250 | $ 750 |
“O Mobile VRP reconhece as contribuições e o trabalho árduo dos pesquisadores que ajudam o Google a melhorar a postura de segurança de nossos aplicativos Android primários”, disse o Google.
“O objetivo do programa é mitigar vulnerabilidades em aplicativos Android originais e, assim, manter os usuários e seus dados seguros.”
Em agosto de 2022, a empresa anunciou que pagaria pesquisadores de segurança para encontrar bugs nas últimas versões lançadas do software de código aberto do Google (Google OSS), incluindo seus projetos mais confidenciais, como Bazel, Angular, Golang, buffers de protocolo e Fuchsia.
Desde o lançamento de seu primeiro VRP há mais de uma década, em 2010, o Google recompensou mais de US$ 50 milhões a milhares de pesquisadores de segurança em todo o mundo por relatar mais de 15.000 vulnerabilidades.
Em 2022, concedeu US$ 12 milhões, incluindo um pagamento recorde de US$ 605.000 para uma cadeia de exploração do Android de cinco bugs de segurança separados relatados por gzobqq, o maior na história do Android VRP.
Um ano antes, o mesmo pesquisador apresentou outra cadeia de exploração crítica no Android, ganhando outros US$ 157.000, o recorde anterior de recompensas por bugs na história do Android VRP na época.
