Google paga até US$ 1,5 milhão para quem encontrar falhas graves no Android

Google paga US$ 1 milhão para pesquisadores que conseguirem rodar código malicioso no chip Titan M dos celulares Pixel 3, 3a e 4

Felipe Ventura
Por
• Atualizado há 2 anos e 9 meses
Google Pixel 4 XL (Foto: Nextrift)

O Google colocou um prêmio mais tentador para quem descobrir falhas graves de segurança no Android: a empresa vai pagar US$ 1 milhão para pesquisadores que conseguirem rodar código malicioso no chip Titan M dos celulares Pixel 3, 3a e 4; e mais US$ 500 mil se houver extração de dados. Antes, o valor máximo do Android Security Rewards era de US$ 200 mil.

Diversas empresas têm programas de bug bounty, incluindo Facebook, Microsoft e Apple, como um complemento às equipes internas de segurança. É mais barato pagar uma recompensa a um pesquisador que gastar milhões de dólares resolvendo uma brecha grave.

O chip Titan M é um motivo de orgulho para o Google. Ele está presente no Pixel 3, 3a, 4 e suas variantes XL, e protege os dados dos usuários de diferentes formas: impedindo que alguém instale uma versão antiga e vulnerável do Android; impedindo que um celular roubado funcione após ser resetado; e garantindo que nem mesmo o próprio Google consiga fazer o desbloqueio ou instalar firmware.

Como ninguém conseguiu hackear o Titan M até agora, o Google decidiu oferecer um incentivo maior: quem rodar código malicioso nesse chip receberá US$ 1 milhão. E se for possível extrair dados armazenados nele, a empresa paga mais US$ 500 mil.

O Google paga US$ 250 mil para quem invadir o kernel do Android ou o SE (Secure Element), chip que armazena dados biométricos e de cartão de pagamentos. Conseguiu burlar a tela de bloqueio do Android através de software? A empresa paga US$ 100 mil. O prêmio só vale se a falha afetar muitos ou todos os dispositivos — não para quem enganar a biometria com um dedo falso, por exemplo.

Ela também oferece um bônus de 50% se a falha estiver em determinadas versões preview, antes de serem distribuídas às fabricantes. Você pode encontrar mais detalhes neste link.

O Android Security Rewards está restrito à linha Pixel; fabricantes como a Samsung operam seus programas próprios de bug bounty. O Google também tem o Chrome Rewards para o navegador web e o Chrome OS, que paga até US$ 150 mil; e o Google Play Rewards, que oferece até US$ 26 mil por brechas de segurança nos apps da Play Store.

Google pagou total de US$ 4 milhões por falhas no Android

Nos últimos 12 meses, o Google pagou mais de US$ 1,5 milhão em recompensas por bugs. O pagamento médio foi de US$ 3,8 mil por descoberta, e US$ 15 mil por pesquisador.

A maior recompensa foi para Guang Gong da Qihoo 360 Technology por uma “cadeia de exploração de execução remota de código no Pixel 3”. Ele recebeu US$ 161.337 do programa Android Security Rewards e US$ 40.000 do Chrome Rewards, totalizando US$ 201.337.

O programa de bug bounty do Android foi lançado em 2015 e, desde então, pagou mais de US$ 4 milhões por 1.800 brechas de segurança.

Com informações: Google, VentureBeat.

Relacionados

Escrito por

Felipe Ventura

Felipe Ventura

Ex-editor

Felipe Ventura fez graduação em Economia pela FEA-USP, e trabalha com jornalismo desde 2009. No Tecnoblog, atuou entre 2017 e 2023 como editor de notícias, ajudando a cobrir os principais fatos de tecnologia. Sua paixão pela comunicação começou em um estágio na editora Axel Springer na Alemanha. Foi repórter e editor-assistente no Gizmodo Brasil.

Temas populares