Website de seguridad en línea de Google: Programa de recompensas por vulnerabilidad: resumen del año 2020


A pesar de los desafíos de este año sin precedentes, nuestros investigadores de vulnerabilidades han logrado más que nunca al asociarse con nuestros Programas de recompensa por vulnerabilidades (VRP) para proteger a los usuarios de Google al descubrir errores de seguridad y abuso y notificarlos para que los solucionemos. Su diligencia nos ayuda a mantener seguros a nuestros usuarios e World wide web en standard, y nos permite solucionar problemas de seguridad antes de que puedan ser explotados.

El trabajo increíblemente duro, la dedicación y la experiencia de nuestros investigadores en 2020 resultó en un pago récord de más de $ 6.7 millones en recompensas, con $ 280,000 adicionales para caridad. Nos gustaría extender un gran Gracias a nuestra comunidad de investigadores por colaborar con nosotros. Es su excelente trabajo lo que da vida a nuestros programas, por lo que queríamos tomarnos un momento para recordar los éxitos del año pasado.

Nuestros programas de recompensas abarcan varias áreas de productos de Google, incluidos Chrome, Android y Google Play Retail outlet. Como en años pasados, estamos compartiendo nuestras estadísticas de Revisión del año 2020 en todos estos programas.

Androide

2020 fue un año fantástico para Android VRP y, en respuesta a los valientes esfuerzos de múltiples equipos de investigadores, pagamos $ 1,74 Millones en recompensas. Tras nuestro aumento en los pagos por explotación en Noviembre de 2019, recibimos un récord de 13 envíos de exploits en funcionamiento en 2020, lo que representa más de $ 1 millón en pagos de recompensas por explotación. Algunos aspectos destacados incluyen:

  • Otorgamos nuestro primer bono de vista previa para desarrolladores de Android 11, que pagó más de $ 50 000 en 11 informes. Esto nos permitió solucionar los problemas de forma proactiva, antes del lanzamiento oficial de Android 11.
  • Guang Gong (@oldfresher) y su equipo en 360 Alpha Lab, Qihoo 360 Engineering Co. Ltd., ahora tienen un récord de 8 exploits (30% del whole de todos los tiempos) en la clasificación. Más recientemente, Alpha Lab presentó un impresionante exploit de raíz remota con 1 clic dirigido a dispositivos Android recientes. Mantienen el pago top-quality de Android ($ 161,337, más otros $ 40,000 de Chrome VRP) por su exploit de 2019.
  • Otro investigador presentó dos exploits adicionales y está compitiendo por el primer lugar de todos los tiempos con una impresionante $ 400 000 en los pagos de exploits de todos los tiempos.

Además, lanzamos una serie de programas piloto de recompensas para guiar a los investigadores de seguridad hacia áreas de interés adicionales, incluido el sistema operativo Android Vehicle, la escritura de fuzzers para el código de Android y un programa de recompensas para los conjuntos de chips de Android. Y en 2021, trabajaremos en mejoras adicionales e iniciativas interesantes relacionadas con nuestros programas.

Cromo

¡Chrome también ha visto un año récord de pagos de VRP! Aumentamos nuestros montos de recompensa en julio de 2019 y, como resultado, 2020 nos ha visto pagar un 83% más que en 2019, totalizando $ 2,1 millones a través de 300 errores.

En 2019, el 14% de nuestros pagos fueron por errores de V8. Esto disminuyó a solo el 6% en 2020. A fines de 2020, anunció una recompensa adicional adicional por errores V8 claramente explotables, por lo que esperamos ver esta cantidad aumentar nuevamente en 2021.

Google Play

¡Ha sido otro año estelar para el programa de recompensas de seguridad de Google Engage in! Este año, ampliamos los criterios para calificar aplicaciones de Android para incluir aplicaciones que utilizan el API de notificación de exposición y realizar el rastreo de contactos para ayudar a combatir el Covid-19. También aumentamos nuestro monto máximo de recompensa a $ 20,000 por vulnerabilidades calificadas.

En 2020, el Programa de recompensas de seguridad de Google Play y el Programa de recompensas de protección de datos para desarrolladores otorgaron más de $ 270 000 a los investigadores de Android de todo el mundo.

Programa de abuso

Más allá de las vulnerabilidades de seguridad típicas, seguimos interesados ​​en la investigación centrada en los riesgos relacionados con el abuso.

El programa Abuse publicó una definición oficial que explain qué riesgo de abuso es y cómo se evalúan los informes relacionados con el abuso. Nosotros también Anunciado mayores recompensas por informes centrados en metodologías relacionadas con el abuso. Estos esfuerzos llevaron a un gran aumento de informes relacionados con abusos. De hecho, recibimos más del doble de informes en 2020 que en 2019, un nivel de crecimiento que nunca antes habíamos visto. El fantástico trabajo de nuestros investigadores en 2020 nos permitió identificar y solucionar más de 100 problemas en más de 60 productos diferentes.

Becas de investigacion

Además de los pagos de recompensas, en 2020 también otorgamos más de $ 400 000 en subvenciones a más de 180 investigadores de seguridad en todo el mundo, lo que es un récord para este programa. Más de un tercio de estas subvenciones se concedieron en respuesta a la crisis de Covid-19, para extender nuestro apoyo a los investigadores y permitirles continuar con su trabajo. Nuestros investigadores nos respondieron con más de 200 informes que dieron como resultado más de 100 vulnerabilidades identificadas.

«El punto es que el valor de estas subvenciones de investigación no es de $ 1337, $ 500 o $ 5000, and so on. ¡No tiene precio!» – Becario de investigación

Viendo hacia adelante

Por último, debido a la pandemia de Covid-19 en curso y las restricciones relacionadas con los viajes el año pasado, no pudimos mantener nuestra tradición de conocer a nuestros cazadores de insectos en persona y organizar eventos como ESCAL8, donde podemos relacionarnos con nuestra increíble comunidad de investigadores. Como todos los demás, estamos llenos de esperanza de que 2021 nos permitirá reunirnos en persona nuevamente y celebrar el décimo aniversario de VRP y el fantástico trabajo que nuestros investigadores han contribuido durante este tiempo.

Esperamos otro año más de trabajo con nuestros investigadores de seguridad para hacer que Google, Android, Chrome y Google Play Store sean más seguros para todos. Siga con nosotros @GoogleVRP para estar al tanto de las últimas novedades.

Gracias a Mike Antares, Adam Bacchus, Dirk Göhmann, Amy Ressler, Martin Straka, Adrian Taylor y Jan Keller por sus contribuciones a esta publicación.





Enlace a la noticia initial