2021 ha sido un buen año para los investigadores de seguridad que rastrean fallas en los productos de Google. No es que los anteriores fueran malos, pero aun así se consiguieron récords de pago de premios, zumbidos y tropiezos.
En su informe del año pasado, Google premió a los contribuyentes por un total de 8,7 millones de dólares (7,6 millones de euros) frente a los 6,7 y 6,5 millones de dólares de 2020 y 2019. 696 investigadores han sido premiados por sus descubrimientos en Android, Chrome, Chrome OS, Google Play y otros servicios o software. De esta cantidad total, $300,000 se destinaron a organizaciones benéficas propuestas por los destinatarios de estos premios.
Algunas faltas más graves pagan mejor que otras. La denuncia de un determinado defecto en Android se convirtió en un cheque de 157.000 dólares (unos 137.000 euros). Eso es el 5% del monto total pagado por los informes en la plataforma móvil (poco menos de $3 millones en 2021). Otros ejemplos: para Chrome, la mejor bonificación fue de $ 27,000 y $ 45,000 para Chrome OS.
El padre de Android también implementó el Programa de recompensas de seguridad de chipset de Android el año pasado. Cubre las vulnerabilidades que se encuentran en los componentes comunes de los teléfonos inteligentes Android. Se aislaron 220 fallas y se pagaron $296,000.
Google presume de paso de tener la recompensa más importante del sector: 1,5 millones de dólares para quien falle su chip de seguridad Titan-M presente en los Pixel (el equivalente al Secure Enclave de los iPhone).
Apple fijó su nivel más alto en $ 1 millón para un caso probado de ejecución de código a nivel de kernel, sin la intervención del usuario para instalarlo, y sin un reinicio del dispositivo que interrumpa la intrusión del dispositivo.
Cuadro de Honor y Universidad
Luego, Google destaca a algunos de estos investigadores más talentosos. Porque hay algunos particularmente productivos. Solo uno de ellos, Aman Pandey, presentó 232 ejemplos de vulnerabilidades en Android en 2021. Este destacado de Google tiene otro propósito, permite que estas personas muestren sus habilidades y fortalezcan su notoriedad.
Google adopta un enfoque muy diferente al de Apple, aunque solo sea en la forma en que promociona su programa de recompensas y quién participa en él. En Apple, el programa Security Bounty se limita a presentar su funcionamiento y sus criterios así como las recompensas que se pueden otorgar. También hay un correo electrónico simple para contactar al equipo de seguridad.
Apple mejorará su recompensa por errores para atraer a investigadores de seguridad no muy entusiastas
Google, por su parte, abrió el portal Bug Hunters en 2021 con el fin de reunir en un solo lugar todas las denuncias de problemas de seguridad detectados en su software y plataformas y simplificar su declaración.
Este portal ofrece toda una serie de consejos y ejemplos prácticos -a través de una Bug Hunter University- sobre la mejor forma de presentar un descubrimiento, para facilitar su lectura y verificación por parte de los ingenieros de Google. Las explicaciones sobre las razones por las que se pueden desestimar los informes completan estas instrucciones.
Este espacio también muestra un cuadro de honor de los investigadores más efectivos en esta cacería. Pueden enviar a sus clientes allí para verificar su estado. Los especialistas más experimentados pueden no necesitar esta información, pero los que se embarcan en este tipo de caza serán tomados de la mano y guiados.
- ¿Overwatch 2 realmente reemplazará a Overwatch 1 cuando se lance? - 20 de julio de 2022
- Utilidad: YouType agrega el modo de entrada activo al lado de su cursor - 29 de junio de 2022
- Setapp: una cuarta parte de los desarrolladores han cambiado a sistemas de suscripción - 29 de junio de 2022
