Expandiendo el Programa de Recompensas de Seguridad de Android


los Recompensas de seguridad de Android (ASR) se creó en 2015 para recompensar a los investigadores que encuentran e informan problemas de seguridad para ayudar a mantener seguro el ecosistema de Android. En los últimos 4 años, hemos otorgado más de 1,800 informes y hemos pagado más de cuatro millones de dólares.

Hoy, estamos ampliando el programa y aumentando las cantidades de recompensas. Estamos presentando un premio máximo de $ 1 millón para un exploit de ejecución de código remoto de cadena completa con persistencia que compromete el elemento seguro Titan M en dispositivos Pixel. Además, lanzaremos un programa específico que ofrece una bonificación del 50% por exploits que se encuentran en versiones específicas de vista previa para desarrolladores de Android, lo que significa que nuestro premio principal es ahora $ 1.5 millones.

Como se menciona en un publicación de website anterior, En 2019, Gartner calificó al Pixel 3 con Titan M como el que tiene las calificaciones más «fuertes» en la sección de seguridad incorporada de todos los dispositivos evaluados. Es por eso que hemos creado un premio dedicado para recompensar a los investigadores por los exploits que se encuentran para eludir las protecciones de elementos seguros.

Además de las vulnerabilidades relacionadas con Pixel Titan M, hemos agregado otras categorías de vulnerabilidades al programa de recompensas, como las relacionadas con la exfiltración de datos y el desvío de la pantalla de bloqueo. Estas recompensas ascienden a $ 500,000 dependiendo de la categoría de explotación. Para más detalles, consulte el Página de reglas del programa Android Safety Rewards.

Ahora que hemos cubierto algunas de las novedades, echemos un vistazo a algunos hitos de este año. Aquí hay algunos aspectos destacados de 2019:

  • Los pagos totales en los últimos 12 meses han superado los $ 1.5 millones.
  • Más de 100 investigadores participantes han recibido un monto promedio de recompensa de más de $ 3,800 por hallazgo (aumento del 46% con respecto al año pasado). ¡En promedio, esto significa que pagamos más de $ 15,000 (aumento del 20% con respecto al año pasado) por investigador!
  • La recompensa máxima pagada en 2019 fue de $ 161,337.

Pago exceptional

La mayor recompensa pagada a un miembro de la comunidad de investigación fue por un informe de Guang Gong (@oldfresher) de Alpha Lab, Qihoo 360 Technological know-how Co. Ltd. Este informe detalla la primera cadena de explotación de ejecución remota de código con 1 clic en el dispositivo Pixel 3. Guang Gong recibió $ 161,337 del Programa de recompensas de seguridad de Android y $ 40,000 por Programa de recompensas de Chrome por un full de $ 201,337. La recompensa combinada de $ 201,337 también es la recompensa más alta para una sola cadena de exploits en todos los programas VRP de Google. Las vulnerabilidades de Chrome apalancadas en este informe se corrigieron en Chrome 77..3865.75 y lanzado en septiembre, protegiendo a los usuarios contra esta cadena de exploits.

Queremos agradecer a todos nuestros investigadores por contribuir a la seguridad del ecosistema de Android. Si está interesado en convertirse en investigador, consulte nuestro Universidad Bughunter para obtener información sobre cómo comenzar.

A partir de hoy 21 de noviembre de 2019, entrarán en vigencia las nuevas recompensas. Todos los informes que se presentaron antes del 21 de noviembre de 2019 serán recompensados ​​en función de la tabla de recompensas existente anteriormente.

¡Feliz caza de insectos!






Source connection

Be the first to comment

Leave a Reply

Tu dirección de correo no será publicada.


*