Si eres un manitas de la informática y las redes, entonces estás de suerte porque Android te pagará hasta $30.000 por encontrar un fallo. Google ha desarrollado un programa de recompensas por vulnerabilidades móviles que afecten directamente su sistema operativo para smartphone, enfocándose principalmente en las aplicaciones de Android desarrolladas por Google o que sean mantenidas por la propia empresa.
Este programa se encarga de dar recompensas económicas a los investigadores que logren encontrar vulnerabilidades en las aplicaciones, que sean reportadas y documentadas de acuerdo a sus reglas, para que la empresa pueda solucionar esos fallos que coloca en riesgo la seguridad de los usuarios en el menor tiempo posible.
Cómo descargar todas las fotos de Google Fotos
Estos informes de vulnerabilidades, que pueden causar problemas de seguridad como los ataques de día cero, permiten que puedas proteger tu teléfono Android con una actualización, por ejemplo.
Qué aplicaciones participan en el programa de recompensas de Google
El programa de recompensas de Google para encontrar vulnerabilidades en apps de Android cuenta con tres niveles, lo que hará que la cantidad de dinero recibido en recompensa sea mayor o menor.
- Google LLC
- Desarrollado con Google
- Investigación en Google
- Laboratorios al rojo vivo
- Muestras de Google
- Fitbit LLC
- Nest Labs Inc.
- Waymo LLC
- Waze
En el primer nivel se encuentran las siguientes aplicaciones:
- Servicios de Google Play
- AGSA
- Google Chrome
- Nube de Google
- Gmail
- Escritorio remoto de Chrome
En el segundo nivel se ubican la mayoría de las aplicaciones que interactúan de alguna manera con una aplicación de primer nivel, los datos del usuario o los servicios de Google. Por su parte, en el tercer nivel se ubican las aplicaciones que no manejan datos de usuarios ni interactúan con los servicios de Google.
Cuánto paga Google por encontrar vulnerabilidades
- Las recompensas en el primer nivel pueden estar entre los $750 y los $30.000.
- En el segundo nivel podría obtener recompensas entre $625 y $25.000.
- En el tercer nivel las recompensas varían entre $500 y $20.000.
Los diferentes tramos de pagos que realiza Google a los desarrolladores que logran encontrar una vulnerabilidad, depende de cuatro premisas diferentes en cada uno de los tipos de fallos posibles existentes.
- Interacción remota o sin usuario. Un fallo que puede ser localizado interactuando directamente con la aplicación y el sistema, sin la interacción con el usuario.
- El usuario debe seguir un enlace que explota la aplicación vulnerable.
- El usuario debe instalar una aplicación maliciosa o la aplicación de la víctima está configurada de una manera no predeterminada.
- El atacante debe estar en la misma red (por ejemplo, MiTM)
Estas condiciones deben darse dentro de tres categorías que se consideran para cualquiera de las aplicaciones en los tres niveles:
- Ejecución de código arbitrario
- Robo de Datos Sensibles
- Otras vulnerabilidades
Clasificándose de mayor a menor la recompensa en cada uno de los casos supuestos.
Cómo se reporta una vulnerabilidad
Google ha dispuesto un manual y un formulario para que los investigadores puedan reportar estos fallos. En primer lugar, es necesario que la persona solo utilice sus propias cuentas de Google para identificarse en la plataforma, en caso contrario, podría no ser considerado el reporte para solucionar una vulnerabilidad o para el pago de la recompensa.
En caso de haber encontrado una vulnerabilidad de seguridad, el investigador debe completar el formulario que está disponible en la web de informes de Google. Es necesario que el informe sea breve, ya que será evaluado por ingenieros de seguridad, además debe incluir una prueba de concepto para poder probar el error especificado.
Google ofrece una clave PGP para cifrar las comunicaciones con ellos, en caso de que el investigador manifieste algún riesgo de seguridad personal.
5 apps que debes probar según Google
- Ver Comentarios