Google paga até US$ 1,5 milhão para quem encontrar falhas graves no Android
Google paga US$ 1 milhão para pesquisadores que conseguirem rodar código malicioso no chip Titan M dos celulares Pixel 3, 3a e 4
O Google colocou um prêmio mais tentador para quem descobrir falhas graves de segurança no Android: a empresa vai pagar US$ 1 milhão para pesquisadores que conseguirem rodar código malicioso no chip Titan M dos celulares Pixel 3, 3a e 4; e mais US$ 500 mil se houver extração de dados. Antes, o valor máximo do Android Security Rewards era de US$ 200 mil.
Diversas empresas têm programas de bug bounty, incluindo Facebook, Microsoft e Apple, como um complemento às equipes internas de segurança. É mais barato pagar uma recompensa a um pesquisador que gastar milhões de dólares resolvendo uma brecha grave.
O chip Titan M é um motivo de orgulho para o Google. Ele está presente no Pixel 3, 3a, 4 e suas variantes XL, e protege os dados dos usuários de diferentes formas: impedindo que alguém instale uma versão antiga e vulnerável do Android; impedindo que um celular roubado funcione após ser resetado; e garantindo que nem mesmo o próprio Google consiga fazer o desbloqueio ou instalar firmware.
Como ninguém conseguiu hackear o Titan M até agora, o Google decidiu oferecer um incentivo maior: quem rodar código malicioso nesse chip receberá US$ 1 milhão. E se for possível extrair dados armazenados nele, a empresa paga mais US$ 500 mil.
O Google paga US$ 250 mil para quem invadir o kernel do Android ou o SE (Secure Element), chip que armazena dados biométricos e de cartão de pagamentos. Conseguiu burlar a tela de bloqueio do Android através de software? A empresa paga US$ 100 mil. O prêmio só vale se a falha afetar muitos ou todos os dispositivos — não para quem enganar a biometria com um dedo falso, por exemplo.
Ela também oferece um bônus de 50% se a falha estiver em determinadas versões preview, antes de serem distribuídas às fabricantes. Você pode encontrar mais detalhes neste link.
O Android Security Rewards está restrito à linha Pixel; fabricantes como a Samsung operam seus programas próprios de bug bounty. O Google também tem o Chrome Rewards para o navegador web e o Chrome OS, que paga até US$ 150 mil; e o Google Play Rewards, que oferece até US$ 26 mil por brechas de segurança nos apps da Play Store.
Google pagou total de US$ 4 milhões por falhas no Android
Nos últimos 12 meses, o Google pagou mais de US$ 1,5 milhão em recompensas por bugs. O pagamento médio foi de US$ 3,8 mil por descoberta, e US$ 15 mil por pesquisador.
A maior recompensa foi para Guang Gong da Qihoo 360 Technology por uma “cadeia de exploração de execução remota de código no Pixel 3”. Ele recebeu US$ 161.337 do programa Android Security Rewards e US$ 40.000 do Chrome Rewards, totalizando US$ 201.337.
O programa de bug bounty do Android foi lançado em 2015 e, desde então, pagou mais de US$ 4 milhões por 1.800 brechas de segurança.
Com informações: Google, VentureBeat.
