Google anuncia una recompensa de $40,000 por reportar errores en el sistema operativo Android

Google invita a hackers éticos e investigadores de seguridad a encontrar vulnerabilidades de seguridad en Android con una oferta de $40,000 (£25,600)

Google comenzará a pagar una recompensa de hasta $40,000 (£25,600) a los investigadores de seguridad que encuentren errores en sus dispositivos Android. La compañía también ha anunciado un nuevo programa para asegurar la seguridad del software de terceros en el sistema operativo Android, instando a los desarrolladores a no utilizar bibliotecas de programación que estén desactualizadas en sus aplicaciones.

Adrian Ludwig, el líder de seguridad de Android, dijo: “Vemos que los dispositivos móviles se están convirtiendo posiblemente en la forma más importante para que las personas se conecten a internet. Además, estamos viendo que proporciona verificación en dos pasos y la causa de esperanza en la forma en que los usuarios interactúan.”

Sin embargo, la mayor parte de la investigación de seguridad aún se centra en los sistemas heredados. Estamos tratando de cambiar eso incentivando a los investigadores de seguridad a enfocar su poder en lo móvil. El nuevo esquema llamado “Recompensas de Seguridad de Android” seguirá el logro de un programa similar para el navegador web Chrome de Google. En el año 2014, la compañía pagó más de $1.5 millones a investigadores de seguridad.

Ludwig dice que la decisión de examinar aplicaciones de Android en busca de bibliotecas de software que podrían crear una amenaza de seguridad se tomó hace un año y ahora se implementará más allá de su introducción “experimental”. También dijo que respecto al escaneo de aplicaciones, no buscaremos deliberadamente un comportamiento malo, sino que buscaremos errores.

Ludwig dio el claro ejemplo de OpenSSL, que es la biblioteca de cifrado de código abierto que estaba en la mente de la susceptibilidad Heartbleed de 2014.

Ludwig dijo que estamos buscando una historia antigua de OpenSSL. Hace aproximadamente un año comenzamos a escanear aplicaciones y notificar a los desarrolladores si han cometido ese tipo de error. “Nuestro objetivo es llegar al punto donde haya una base común y queremos establecer estructuras para ayudar a los desarrolladores a actualizar sus aplicaciones, para que el valor de todas las aplicaciones aumente.”

Los desarrolladores que deseen reclamar la recompensa por errores de Google deberán mostrar vulnerabilidades que afecten a los dos dispositivos Nexus que la compañía está enviando, es decir, el Nexus 6 y el Nexus 9. Debido a la división del mercado de Android, Google no puede probar si los errores que afectan a otros dispositivos Android son culpa del sistema operativo o de los complementos del fabricante. Las recompensas son en un nivel deslizante, desde $500 por un error menor ofrecido sin trabajo adicional más que la identificación, hasta $38,000 por una debilidad severa proporcionada junto con una prueba de concepto de uso remoto y área para solucionar el problema. “Nuestro objetivo es que esto podría ser un estudio a tiempo completo y una oportunidad muy bien pagada,” dice Ludwig.

Un esquema de seguridad separado de Google llamado Project Zero ha ganado a la compañía una ligera cantidad de controversia por su práctica de liberar pruebas de concepto utilizando dispositivos de otras empresas. Este proyecto tiene como objetivo reconocer vulnerabilidades previamente no identificadas y luego revelarlas a los fabricantes con un límite de tiempo de 90 días para solucionarlas. Si no se aproxima ninguna solución, el grupo hará pública la vulnerabilidad para alentar a las empresas a acelerar sus parches de seguridad.

Aunque la compañía practica lo que predica: Ludwig dice que las vulnerabilidades de Android son buscadas por Project Zero. Si Project Zero identifica algún problema, entonces se nos da un límite de tiempo para trabajar dentro de ese objetivo, al igual que todos los demás. Hasta ahora no hemos perdido un plazo.

“Creemos completamente en hacer que los fabricantes respondan rápidamente, todas esas partes deberían responder con rapidez.”