Google Aumenta Recompensa Para Até $450,000 Por Bugs RCE Em Alguns Aplicativos Android

O Google agora está oferecendo uma recompensa de até $450,000 por relatar vulnerabilidades de execução remota de código (RCE) em aplicativos Android selecionados.

Para quem não sabe, RCE é um ciberataque pelo qual um atacante pode executar remotamente código malicioso em um computador alvo, não importa onde esteja localizado, a fim de implantar malware adicional ou roubar dados sensíveis.

Anteriormente, a recompensa por relatar vulnerabilidades RCE no aplicativo de Nível 1 era de $30,000, que agora aumentou até 10 vezes para $300,000.

Essas mudanças foram feitas no Programa de Recompensas por Vulnerabilidades Móveis (Mobile VRP) lançado em 2023, que se concentra em aplicativos Android de primeira parte desenvolvidos ou mantidos pelo Google.

O objetivo deste programa é “mitigar vulnerabilidades em aplicativos Android de primeira parte e, assim, manter os usuários e seus dados seguros” ao “reconhecer as contribuições e o trabalho árduo dos pesquisadores que ajudam o Google a melhorar a postura de segurança de nossos aplicativos Android de primeira parte.”

Desde o lançamento do Mobile VRP, o Google recebeu mais de 40 relatórios válidos de bugs de segurança, pelos quais pagou quase $100,000 em recompensas a pesquisadores de segurança.

Chegando ao Nível 1, a lista de aplicativos em escopo inclui Google Play Services, o aplicativo de Pesquisa do Google Android (AGSA), Google Cloud e Gmail.

O Google agora também quer que os pesquisadores de segurança prestem atenção especial a falhas que podem levar ao roubo de dados sensíveis. Para exploits que requerem interação remota ou nenhuma interação do usuário, os pesquisadores receberiam $75,000.

Além disso, o gigante da tecnologia pagará 1,5 vezes o valor total da recompensa por relatórios de qualidade excepcional que incluam um patch proposto ou mitigação eficaz da vulnerabilidade, bem como uma análise da causa raiz que ajude a encontrar outras variantes semelhantes do problema. Isso permitiria que os pesquisadores ganhassem até $450,000 por um exploit RCE em um aplicativo Android de Nível 1.

No entanto, os pesquisadores receberiam metade da recompensa por relatórios de bugs de baixa qualidade que não fornecem:

• Uma descrição precisa e detalhada do problema

• Um exploit de prova de conceito

• Um aplicativo de exemplo na forma de um APK

• Uma explicação passo a passo de como reproduzir a vulnerabilidade de forma confiável

• Uma análise clara e demonstração do impacto da vulnerabilidade

| | Categoria | | 1) Interação Remota/Nenhuma Interação do Usuário | | 2) O usuário deve seguir um link que explora o aplicativo vulnerável | | 3) O usuário deve instalar um aplicativo malicioso ou o aplicativo da vítima está configurado de uma maneira não padrão | | 4) O atacante deve estar na mesma rede (por exemplo, MiTM) | |

| | A) Execução Arbitrária de Código | | $300,000 | | $150,000 | | $15,000 | | $9,000 | |

| | B) Roubo de Dados Sensíveis* | | $75,000 | | $37,500 | | $9,000 | | $6,000 | |

| | C) Outras Vulnerabilidades | | $24,000 | | $9,000 | | $4,500 | | $2,400 | |

“Algumas mudanças adicionais menores também foram feitas em nossas regras. Por exemplo, o modificador 2x para SDKs agora está incorporado nas recompensas regulares. Isso deve aumentar as recompensas gerais e tornará as decisões do painel mais fáceis”, disse o engenheiro de segurança da informação do Google, Kristoffer Blasiak.