(https://i.imgur.com/3EgoIuO.png)
Google ha lanzado el Mobile Vulnerability Rewards Program (Mobile VRP), un nuevo programa de recompensas por errores que pagará a los investigadores de seguridad por las fallas encontradas en las aplicaciones Android de la compañía.
"¡Estamos muy contentos de anunciar el nuevo VRP móvil! Estamos buscando cazadores de errores que nos ayuden a encontrar y corregir vulnerabilidades en nuestras aplicaciones móviles", tuiteó Google VRP.
Como dijo la compañía, el objetivo principal detrás del VRP móvil es acelerar el proceso de encontrar y corregir debilidades en las aplicaciones de Android de primera parte, desarrolladas o mantenidas por Google.
Las aplicaciones en el alcance del VRP móvil incluyen las desarrolladas por Google LLC, Developed with Google, Research at Google, Red Hot Labs, Google Samples, Fitbit LLC, Nest Labs Inc, Waymo LLC y Waze.
La lista de aplicaciones dentro del ámbito también contiene lo que Google describe como aplicaciones Android de "nivel 1", que incluye las siguientes aplicaciones (y sus nombres de paquete):
- Servicios de Google Play (com.google.android.gms)
- AGSA( com.google.android.googlequicksearchbox)
- Google Chrome (com.android.chrome)
- Google Cloud (com.google.android.apps.cloudconsole)
- Gmail (com.google.android.gm)
- Escritorio remoto de Chrome (com.google.chromeremotedesktop)
Las vulnerabilidades calificadas incluyen aquellas que permiten la ejecución de código arbitrario (ACE) y el robo de datos confidenciales, y debilidades que podrían encadenarse con otras fallas para provocar un impacto similar.
Estos incluyen permisos huérfanos, fallas de recorrido de ruta o recorrido de ruta zip que conducen a la escritura arbitraria de archivos, redirecciones de intención que se pueden explotar para iniciar componentes de aplicaciones no exportados y errores de seguridad causados por el uso inseguro de intenciones pendientes.
Google dice que recompensará un máximo de $ 30,000 por la ejecución remota de código sin interacción del usuario y hasta $ 7,500 por errores que permitan el robo de datos confidenciales de forma remota.
(https://i.imgur.com/WtEHCjk.png)
"El VRP móvil reconoce las contribuciones y el arduo trabajo de los investigadores que ayudan a Google a mejorar la postura de seguridad de nuestras aplicaciones Android de primera parte", dijo Google.
"El objetivo del programa es mitigar las vulnerabilidades en las aplicaciones de Android de primera parte y, por lo tanto, mantener seguros a los usuarios y sus datos".
En agosto de 2022, la compañía anunció que pagaría a los investigadores de seguridad para encontrar errores en las últimas versiones publicadas del software de código abierto de Google (Google OSS), incluidos sus proyectos más sensibles como Bazel, Angular, Golang, Protocol buffers y Fuchsia.
Desde el lanzamiento de su primer VRP hace más de una década, en 2010, Google ha recompensado más de 50 millones de dólares a miles de investigadores de seguridad en todo el mundo por informar sobre más de 15.000 vulnerabilidades.
En 2022 otorgó $ 12 millones, incluido un pago récord de $ 605,000 por una cadena de explotación de Android de cinco errores de seguridad separados reportados por gzobqq, el más alto en la historia de Android VRP.
Un año antes, el mismo investigador presentó otra cadena de exploits críticos en Android, ganando otros $ 157,000, el récord anterior de recompensas de errores en la historia de Android VRP en ese momento.
Fuente: https://www.bleepingcomputer.com