O Programa de Recompensa de Vulnerabilidade de Dispositivo do Google ajuda a empresa a identificar falhas de segurança em seu sistema operacional e dispositivos. Um novo Programa de Recompensa de Vulnerabilidade de Dispositivos Android Google está oferecendo até 15 mil dólares (cerca de R$ 74,4 mil).
Novo Programa de Recompensa de Vulnerabilidade de Dispositivos Android e Google
Para promover pesquisas de segurança adicionais em áreas de seus produtos que terão maior impacto e protegerão a segurança dos usuários, o Google está lançando um novo sistema de classificação de qualidade para relatórios de vulnerabilidade de segurança.
Temos o prazer de anunciar que estamos implementando um novo sistema de classificação de qualidade para relatórios de vulnerabilidade de segurança para incentivar mais pesquisas de segurança em áreas de maior impacto de nossos produtos e garantir a segurança de nossos usuários.
Com base no nível de informação fornecido no relatório, este sistema atribuirá aos relatórios de vulnerabilidade uma classificação de qualidade Alta, Média ou Baixa. Além disso, o Google está aumentando os incentivos para as falhas mais críticas para US$ 15.000.
Elementos Significativos do Relatório
Descrição precisa e detalhada
Um relatório deve caracterizar correta e completamente a vulnerabilidade, incluindo o nome e a versão do dispositivo afetado.
Análise de causa raiz
Uma prova de conceito que ilustre com êxito a vulnerabilidade deve ser incluída em um relatório que inclua registros de vídeo, saída de depuração ou outros dados pertinentes.
Reprodutibilidade
Um relatório deve conter um procedimento passo a passo para reproduzir a vulnerabilidade em um dispositivo qualificado executando a versão mais recente.
Evidência de acessibilidade
Um relatório deve incluir evidências ou análises que demonstrem o tipo de problema e o nível de acesso ou execução obtido.
O Google também disse que não atribuiria mais uma classificação de vulnerabilidades e exposições comuns (CVE) a preocupações de gravidade moderada, apenas àquelas de gravidade crítica e alta.
A partir de 15 de março de 2023, o Android não atribuirá mais vulnerabilidades e exposições comuns (CVEs) aos problemas de gravidade mais moderada. Os CVEs continuarão a ser atribuídos a vulnerabilidades críticas e de alta gravidade.
O Google acredita que incentivar os pesquisadores a produzir relatórios de alta qualidade fortaleceria a comunidade geral de segurança e sua capacidade de tomar as medidas apropriadas.
Acreditamos que este novo sistema incentivará os pesquisadores a fornecer relatórios mais detalhados, o que nos ajudará a resolver os problemas relatados mais rapidamente e permitir que os pesquisadores recebam recompensas mais altas.