O Google lançou o Mobile VRP (Mobile Vulnerability Rewards Program), um programa de recompensas por bugs que pagará pesquisadores de segurança por falhas encontradas nos aplicativos Android da empresa.
O que você precisa saber:
Como a empresa divulgou, numa rede social, o principal objetivo por trás do Mobile VRP é acelerar o processo de encontrar e corrigir pontos fracos em aplicativos Android desenvolvidos ou mantidos pelo Google.
Recompensas do Google
Os aplicativos no escopo do Mobile VRP incluem aqueles desenvolvidos pela Google LLC, Developed with Google, Research at Google, Red Hot Labs, Google Samples, Fitbit LLC, Nest Labs Inc, Waymo LLC e Waze.
A lista de aplicativos no escopo também contém o que o Google descreve como aplicativos Android de “Nível 1”, que inclui os seguintes aplicativos:
As vulnerabilidades qualificadas incluem aquelas que permitem execução arbitrária de código (ACE) e roubo de dados confidenciais, além de pontos fracos que podem se relacionar a outras falhas para levar a um impacto semelhante.
Isso inclui permissões órfãs, path traversal ou falhas de zip path traversal que levam à gravação arbitrária de arquivos, redirecionamentos de intenção que podem ser explorados para iniciar componentes de aplicativos não exportados e bugs de segurança causados pelo uso inseguro de intenções pendentes.
Valores
O Google diz que recompensará no máximo US$ 30 mil (aproximadamente R$ 150 em conversão direta, na cotação atual) pela execução remota de código sem interação do usuário. Empresa também informou que pagará até US$ 7,5 mill (R$ 37,5 mil) por bugs que permitem o roubo remoto de dados confidenciais.
Confira abaixo a tabela com valores (aproximados, de acordo com a cotação atual do dólar) e categorias do programa de recompensas do Google:
| Categoria | Remoto/sem interação do usuário | Usuário deve seguir link que explora app vulnerável | Usuário deve instalar app malicioso ou app da vítima está configurado de maneira não padrão | Invasor deve estar na mesma rede |
| Execução de Código Arbitrário | R$ 150 mil | R$ 75 mil | R$ 22,5 mil | R$ 11,2 mil |
| Roubo de dados confidenciais | R$ 37,5 mil | R$ 22,5 mil | R$ 11,2 mil | R$ 3,7 mil |
| Outras vulnerabilidades | R$ 37,5 mil | R$ 22,5 mil | R$ 11,2 mil | R$ 3,7 mil |
Em agosto de 2022, a empresa anunciou que pagaria pesquisadores de segurança para encontrar bugs nas últimas versões lançadas do software de código aberto do Google (Google OSS), incluindo seus projetos mais confidenciais, como Bazel, Angular, Golang, buffers de protocolo e Fuchsia.
Desde o lançamento de seu primeiro VRP, em 2010, o Google pagou mais de US$ 50 milhões (R$ 250 milhões) a milhares de pesquisadores de segurança em todo o mundo por relatar mais de 15 mil vulnerabilidades.
Já assistiu aos novos vídeos no YouTube do Olhar Digital? Inscreva-se no canal!
Fonte: Olhar Digital
Comentários