O Google lançou o Mobile Vulnerability Rewards Program (Mobile VRP), um novo programa de recompensas para o Android. Esse programa pagará pesquisadores de segurança por falhas encontradas nos aplicativos Android da empresa.
Programa de recompensas para descoberta de vulnerabilidades em seus aplicativos Android do Google
Estamos entusiasmados em anunciar o novo Mobile VRP! Estamos procurando bughunters para nos ajudar a encontrar e corrigir vulnerabilidades em nossos aplicativos móveis.
Google VRP
Como a empresa disse, o principal objetivo por trás do Mobile VRP é acelerar o processo de encontrar e corrigir pontos fracos em aplicativos Android desenvolvidos ou mantidos pelo Google. Os aplicativos no escopo do Mobile VRP incluem aqueles desenvolvidos pela Google LLC, Developed with Google, Research at Google, Red Hot Labs, Google Samples, Fitbit LLC, Nest Labs Inc, Waymo LLC e Waze.
A lista de aplicativos no escopo também contém o que o Google descreve como aplicativos Android de “Nível 1”, que inclui os seguintes aplicativos (e seus nomes de pacote):
- Google Play Services (com.google.android.gms)
- AGSA(com.google.android.googlequicksearchbox)
- Google Chrome (com.android.chrome)
- Google Cloud (com.google.android.apps.cloudconsole)
- Gmail (com.google.android.gm)
- Área de trabalho remota do Google Chrome (com.google.chromeremotedesktop)
Vulnerabilidades qualificadas
As vulnerabilidades qualificadas incluem aquelas que permitem a execução arbitrária de código (ACE) e roubo de dados confidenciais, e pontos fracos que podem ser encadeados com outras falhas para levar a um impacto semelhante.
Isso inclui permissões órfãs, path traversal ou falhas de zip path traversal que levam à gravação arbitrária de arquivos, redirecionamentos de intenção que podem ser explorados para iniciar componentes de aplicativos não exportados e bugs de segurança causados pelo uso inseguro de intenções pendentes.
O Google diz que recompensará no máximo US$ 30.000 (cerca de R$ 148,7 mil) pela execução remota de código sem interação do usuário e até US$ 7.500 (cerca de R$ 37,2 mil) por bugs que permitem o roubo remoto de dados confidenciais.
O Mobile VRP reconhece as contribuições e o trabalho árduo dos pesquisadores que ajudam o Google a melhorar a postura de segurança de nossos aplicativos Android primários.
O objetivo do programa é mitigar vulnerabilidades em aplicativos Android originais e, assim, manter os usuários e seus dados seguros.
Em agosto de 2022, a empresa anunciou que pagaria pesquisadores de segurança para encontrar vulnerabilidades nas últimas versões lançadas do software de código aberto do Google (Google OSS), incluindo seus projetos mais confidenciais, como Bazel, Angular, Golang, buffers de protocolo e Fuchsia. Desde o lançamento de seu primeiro VRP há mais de uma década, em 2010, o Google recompensou mais de US$ 50 milhões (cerca de R$ 248,0 mi) a milhares de pesquisadores de segurança em todo o mundo por relatar mais de 15.000 vulnerabilidades.
Em 2022, concedeu US$ 12 milhões (cerca de R$ 59,5 mi), incluindo um pagamento recorde de US$ 605.000 por uma cadeia de exploração do Android de cinco bugs de segurança separados relatados por gzobqq, o maior na história do Android VRP.
Um ano antes, o mesmo pesquisador apresentou outra cadeia de exploração crítica no Android, ganhando outros US$ 157.000 (cerca de R$ 778,4 mil), o recorde anterior de recompensas por bugs na história do Android VRP na época.