Google Aumenta la Recompensa Hasta $450,000 Por Errores RCE En Algunas Aplicaciones Android

Google ahora está ofreciendo una recompensa de hasta $450,000 por reportar vulnerabilidades de ejecución remota de código (RCE) dentro de aplicaciones Android seleccionadas.

Para aquellos que no lo saben, RCE es un ciberataque mediante el cual un atacante puede ejecutar remotamente código malicioso en una computadora objetivo, sin importar dónde se encuentre, con el fin de desplegar malware adicional o robar datos sensibles.

Anteriormente, la recompensa por reportar vulnerabilidades RCE en la aplicación de Nivel 1 era de $30,000, que ahora ha aumentado hasta 10 veces a $300,000.

Estos cambios se realizaron en el Programa de Recompensas por Vulnerabilidades Móviles (Mobile VRP) lanzado en 2023, que se centra en aplicaciones Android de primera parte desarrolladas o mantenidas por Google.

El objetivo de este programa es “mitigar vulnerabilidades en aplicaciones Android de primera parte, y así mantener a los usuarios y sus datos seguros” al “reconocer las contribuciones y el arduo trabajo de los investigadores que ayudan a Google a mejorar la postura de seguridad de nuestras aplicaciones Android de primera parte.”

Desde el lanzamiento de Mobile VRP, Google ha recibido más de 40 informes válidos de errores de seguridad, por los cuales ha pagado casi $100,000 en recompensas a investigadores de seguridad.

En cuanto al Nivel 1, la lista de aplicaciones en el alcance incluye Google Play Services, la aplicación de búsqueda de Google para Android (AGSA), Google Cloud y Gmail.

Google ahora también quiere que los investigadores de seguridad presten especial atención a fallas que podrían llevar al robo de datos sensibles. Para los exploits que requieren interacción remota o ninguna interacción del usuario, se pagará a los investigadores $75,000.

Además, el gigante tecnológico pagará 1.5 veces el monto total de la recompensa por informes de calidad excepcional que incluyan un parche propuesto o una mitigación efectiva de la vulnerabilidad, así como un análisis de causa raíz que ayude a encontrar otras variantes similares del problema. Esto permitiría a los investigadores ganar hasta $450,000 por un exploit RCE en una aplicación Android de Nivel 1.

Sin embargo, los investigadores recibirían la mitad de la recompensa por informes de errores de baja calidad que no proporcionen:

• Una descripción precisa y detallada del problema

• Un exploit de prueba de concepto

• Una aplicación de ejemplo en forma de APK

• Una explicación paso a paso de cómo reproducir la vulnerabilidad de manera confiable

• Un análisis claro y una demostración del impacto de la vulnerabilidad

| | Categoría | | 1) Interacción Remota/Sin Usuario | | 2) El usuario debe seguir un enlace que explota la aplicación vulnerable | | 3) El usuario debe instalar una aplicación maliciosa o la aplicación víctima está configurada de manera no predeterminada | | 4) El atacante debe estar en la misma red (por ejemplo, MiTM) | |

| | A) Ejecución de Código Arbitrario | | $300,000 | | $150,000 | | $15,000 | | $9,000 | |

| | B) Robo de Datos Sensibles* | | $75,000 | | $37,500 | | $9,000 | | $6,000 | |

| | C) Otras Vulnerabilidades | | $24,000 | | $9,000 | | $4,500 | | $2,400 | |

“También se realizaron algunos cambios adicionales, más pequeños, en nuestras reglas. Por ejemplo, el modificador 2x para SDKs ahora está integrado en las recompensas regulares. Esto debería aumentar las recompensas generales y facilitar las decisiones del panel,” dijo Kristoffer Blasiak, ingeniero de seguridad de la información de Google.