Google anuncia recompensa de $40.000 por relatar bugs no sistema operacional Android

Google convida hackers éticos e pesquisadores de segurança a encontrar vulnerabilidades de segurança no Android com uma oferta de $40.000 (£25.600)

O Google começará a pagar uma recompensa de até $40.000 (£25.600) para os pesquisadores de segurança que encontrarem bugs em seus dispositivos Android. A empresa também anunciou um novo programa para garantir a segurança do software de terceiros no sistema operacional Android, incentivando os desenvolvedores a não utilizarem bibliotecas de programação desatualizadas em suas aplicações.

Adrian Ludwig, o líder de segurança do Android, disse: “Vemos que os dispositivos móveis estão se tornando possivelmente a forma mais importante de as pessoas se conectarem à internet. Além disso, estamos vendo que isso oferece verificação em duas etapas e causa esperança na forma como os usuários interagem.”

No entanto, a maior parte da pesquisa de segurança ainda está focada em sistemas legados. Estamos tentando mudar isso incentivando os pesquisadores de segurança a direcionar seu foco para dispositivos móveis. O novo esquema chamado “Android Security Rewards” seguirá o sucesso de um programa semelhante para o navegador web Chrome do Google. No ano de 2014, a empresa pagou mais de $1,5 milhão a pesquisadores de segurança.

Ludwig afirma que a decisão de examinar aplicativos Android em busca de bibliotecas de software que poderiam criar uma ameaça de segurança foi tomada há um ano e agora será implementada além de sua introdução “experimental”. Ele também disse que, em relação à análise de aplicativos, não procuraremos deliberadamente por comportamentos ruins, mas estaremos em busca de erros.

Ludwig deu o exemplo claro do OpenSSL, que é a biblioteca de criptografia de código aberto que estava na mente da suscetibilidade Heartbleed de 2014.

Ludwig disse que estamos atentos a uma velha história do OpenSSL. Há cerca de um ano, começamos a escanear aplicativos e notificar os desenvolvedores se eles cometeram esse tipo de erro. “Nosso objetivo é chegar ao ponto em que haja uma base comum e queremos colocar estruturas em prática para ajudar os desenvolvedores a atualizar seus aplicativos, para que o valor de todos os aplicativos aumente.”

Desenvolvedores que desejam reivindicar a recompensa por bugs do Google serão obrigados a mostrar vulnerabilidades que afetam os dois dispositivos Nexus da empresa, ou seja, o Nexus 6 e o Nexus 9. Devido à divisão do mercado Android, o Google não pode provar se os bugs que afetam outros dispositivos Android são erro do sistema operacional ou complementos do fabricante. As recompensas são em níveis escalonados, de $500 para um bug menor oferecido sem trabalho extra além da identificação, até $38.000 para uma fraqueza severa fornecida juntamente com uma prova de conceito de uso remoto e área para corrigir o problema. “Nosso objetivo é que isso possa ser um estudo em tempo integral e uma oportunidade muito bem paga”, diz Ludwig.

Um esquema de segurança separado do Google chamado Project Zero, gerou um leve debate para a empresa por sua prática de liberar provas de conceito usando dispositivos de outras empresas. Este projeto visa reconhecer vulnerabilidades previamente não identificadas e, em seguida, revelá-las aos fabricantes com um prazo de 90 dias para corrigi-las. Se nenhuma correção estiver se aproximando, o grupo tornará o ataque público, para incentivar as empresas a acelerar seus patches de segurança.

Embora a empresa pratique o que prega: Ludwig diz que as vulnerabilidades do Android são buscadas pelo Project Zero. Se o Project Zero identificar algum problema, então temos um prazo para trabalhar dentro desse alvo, assim como todos os outros. Até agora, não perdemos nenhum prazo.

“Estamos completamente convencidos de que os fabricantes devem responder prontamente, todas essas partes devem responder rapidamente.”