O Google lançou o Programa de Recompensas por Vulnerabilidades em Dispositivos Móveis (Mobile VRP), um novo programa de recompensas que pagará a pesquisadores de segurança por falhas encontradas em aplicativos Android da empresa.
"Estamos animados em anunciar o novo Mobile VRP! Estamos procurando por caçadores de bugs para nos ajudar a encontrar e corrigir vulnerabilidades em nossos aplicativos móveis", twittou o Google VRP.
Como a empresa disse, o objetivo principal por trás do Mobile VRP é acelerar o processo de localização e correção de fraquezas em aplicativos Android de primeira parte, desenvolvidos ou mantidos pelo Google.
Os aplicativos em escopo para o Mobile VRP incluem os desenvolvidos pela Google LLC, Desenvolvidos com Google, Pesquisa na Google, Red Hot Labs, Google Samples, Fitbit LLC, Nest Labs Inc, Waymo LLC e Waze.
A lista de aplicativos em escopo também contém o que o Google descreve como aplicativos Android "Tier 1", que incluem os seguintes aplicativos (e seus nomes de pacote): As vulnerabilidades qualificadas incluem aquelas que permitem a execução de código arbitrário (ACE) e o roubo de dados sensíveis, e fraquezas que poderiam ser encadeadas com outras falhas para levar a um impacto semelhante.
Isso inclui permissões órfãs, falhas de travessia de caminho ou de caminho zip que levam a gravação arbitrária de arquivos, redirecionamentos de intenções que podem ser explorados para lançar componentes de aplicativos não exportados e bugs de segurança causados pelo uso inseguro de intenções pendentes.
O Google diz que recompensará no máximo US$30.000 por execução de código remoto sem interação do usuário e até US$7.500 por bugs que permitem o roubo de dados sensíveis remotamente.
"O Mobile VRP reconhece as contribuições e trabalho árduo dos pesquisadores que ajudam o Google a melhorar a postura de segurança de nossos aplicativos Android de primeira parte", disse o Google.
"O objetivo do programa é mitigar vulnerabilidades em aplicativos Android de primeira parte e, assim, manter os usuários e seus dados seguros".
Em agosto de 2022, a empresa anunciou que pagaria a pesquisadores de segurança para encontrar bugs nas versões mais recentes de software de código aberto do Google (Google OSS), incluindo seus projetos mais sensíveis, como Bazel, Angular, Golang, Protocol buffers e Fuchsia.
Desde o lançamento de seu primeiro VRP há mais de uma década, em 2010, o Google recompensou mais de US$50 milhões a milhares de pesquisadores de segurança em todo o mundo por relatar mais de 15.000 vulnerabilidades.
Em 2022, ele concedeu US$12 milhões, incluindo um pagamento recorde de US$605.000 por uma cadeia de exploração do Android de cinco bugs de segurança separados relatados por gzobqq, o mais alto na história do Android VRP.
Um ano antes, o mesmo pesquisador apresentou outra cadeia de exploração crítica no Android, ganhando mais US$157.000 - o registro anterior de recompensa por bug no histórico do Android VRP.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...