Google turbina recompensa para identificação de falhas no Android

Google aumentou consideravelmente as recompensas dadas para especialistas em TI que conseguirem identificar falhas de segurança no sistema operacional móvel da empresa, o Android.

Com a iniciativa, hackers que conseguem encontrar algum bug que permita a execução remota de código no sistema podem ser premiados com até US$ 5 mil em dinheiro (o prêmio anterior não passava de US$ 1 mil).

Além disso, vulnerabilidades que permitem a transferência de informações sensíveis sem criptografia, bem como falhas que abrem o acesso a contas protegidas de aplicações também entraram no escopo das premiações.

1

O roubo de dados privados, incluindo informações de identificação pessoal e outras que podem garantir acesso do invasor à conta do usuário, também fazem parte dessa nova categoria de bugs.

Até o momento, a Google entregou US$ 2,7 milhões em prêmios derivados do programa. O maior pagamento foi de US$ 112,5 mil, pela identificação de um exploit para o Pixel, que permitia a execução remota de código no sandbox do Chrome. O especialista responsável por achar a falha foi o chinês Guang Gong.

2

Primeiros passos

O programa de recompensas para falhas no Android foi iniciado no ano passado, em uma parceria da Google com a HackerOne. Chamada de Google Play Security Reward Program, a iniciativa engloba uma porção de aplicativos amplamente utilizados pelo público, como Dropbox, Tinder, Fitbit, Pandora, Line, Duolingo, VLC, Telegram, entre outros, e foi descrita pela HackerOne como “o primeiro e único programa de recompensas de falhas para um ecossistema de aplicativos.

3

HackerOne é uma plataforma independente de programa de recompensas para falhas. De acordo com a companhia, novidades devem ser englobadas no programa em breve, permitindo que mais desenvolvedores queiram fazer parte da iniciativa.

Ainda segundo a HackerOne, mais de 60 mil falhas de segurança válidas foram identificadas até o momento por meio do programa de recompensas da empresa. Além disso, já foram entregues cerca de US$ 75 milhões em prêmios para especialistas em segurança desde 2012, quando a plataforma foi fundada.