Google lança programa de bug bounty para seus aplicativos Android
23 de Maio de 2023

O Google lançou o Programa de Recompensas por Vulnerabilidades em Dispositivos Móveis (Mobile VRP), um novo programa de recompensas que pagará a pesquisadores de segurança por falhas encontradas em aplicativos Android da empresa.

"Estamos animados em anunciar o novo Mobile VRP! Estamos procurando por caçadores de bugs para nos ajudar a encontrar e corrigir vulnerabilidades em nossos aplicativos móveis", twittou o Google VRP.

Como a empresa disse, o objetivo principal por trás do Mobile VRP é acelerar o processo de localização e correção de fraquezas em aplicativos Android de primeira parte, desenvolvidos ou mantidos pelo Google.

Os aplicativos em escopo para o Mobile VRP incluem os desenvolvidos pela Google LLC, Desenvolvidos com Google, Pesquisa na Google, Red Hot Labs, Google Samples, Fitbit LLC, Nest Labs Inc, Waymo LLC e Waze.

A lista de aplicativos em escopo também contém o que o Google descreve como aplicativos Android "Tier 1", que incluem os seguintes aplicativos (e seus nomes de pacote): As vulnerabilidades qualificadas incluem aquelas que permitem a execução de código arbitrário (ACE) e o roubo de dados sensíveis, e fraquezas que poderiam ser encadeadas com outras falhas para levar a um impacto semelhante.

Isso inclui permissões órfãs, falhas de travessia de caminho ou de caminho zip que levam a gravação arbitrária de arquivos, redirecionamentos de intenções que podem ser explorados para lançar componentes de aplicativos não exportados e bugs de segurança causados pelo uso inseguro de intenções pendentes.

O Google diz que recompensará no máximo US$30.000 por execução de código remoto sem interação do usuário e até US$7.500 por bugs que permitem o roubo de dados sensíveis remotamente.

"O Mobile VRP reconhece as contribuições e trabalho árduo dos pesquisadores que ajudam o Google a melhorar a postura de segurança de nossos aplicativos Android de primeira parte", disse o Google.

"O objetivo do programa é mitigar vulnerabilidades em aplicativos Android de primeira parte e, assim, manter os usuários e seus dados seguros".

Em agosto de 2022, a empresa anunciou que pagaria a pesquisadores de segurança para encontrar bugs nas versões mais recentes de software de código aberto do Google (Google OSS), incluindo seus projetos mais sensíveis, como Bazel, Angular, Golang, Protocol buffers e Fuchsia.

Desde o lançamento de seu primeiro VRP há mais de uma década, em 2010, o Google recompensou mais de US$50 milhões a milhares de pesquisadores de segurança em todo o mundo por relatar mais de 15.000 vulnerabilidades.

Em 2022, ele concedeu US$12 milhões, incluindo um pagamento recorde de US$605.000 por uma cadeia de exploração do Android de cinco bugs de segurança separados relatados por gzobqq, o mais alto na história do Android VRP.

Um ano antes, o mesmo pesquisador apresentou outra cadeia de exploração crítica no Android, ganhando mais US$157.000 - o registro anterior de recompensa por bug no histórico do Android VRP.

Publicidade

Curso gratuito de Python

O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...