La preocupación de Google por la seguridad es algo conocido. En esta ocasión, promueve una nueva iniciativa para intentar mejorar su sistema operativo para móviles: un programa de recompensas por encontrar y comunicar responsablemente vulnerabilidades en Android.
Realmente Google cuida bastante la seguridad de sus productos, basta con ver la frecuencia de actualizaciones de Google Chrome. Fruto de la colaboración con la comunidad de investigadores, Google ha corregido más de 1.000 vulnerabilidades en su navegador que han sido reconocidas con una cantidad superior al millón de euros, a través del programa de recompensa de vulnerabilidades de Google Chrome.
Esta política ha contribuido a hacer que Chrome sea más seguro. Sin duda con la misma idea, ha creado crea un nuevo programa de recompensas que bajo el nombre de Android Security Rewards pretende recompensar las contribuciones de los investigadores de seguridad que invierten su tiempo y esfuerzo en conseguir que Android sea más seguro.
A través de este programa la compañía de Mountain View pretende ofrecer recompensas económicas y el reconocimiento público de las vulnerabilidades descritas. Como es habitual, el nivel de recompensa se basa en la gravedad de las vulnerabilidades y aumenta si los informes ofrecidos tienen mayor calidad, incluyen código para reproducir el fallo, casos de prueba o parches.
Las cantidades de recompensa base son 2.000 dólares para vulnerabilidades críticas, 1.000 $ para las de gravedad alta, y 500 para las moderadas. Sin embargo, en función de la gravedad del problema, la calidad del informe, exploits, etc. Pueden llegar a subir hasta los 38.000 dólares.
En esta ocasión Google ofrece recompensas por las vulnerabilidades de seguridad descubiertas en las últimas versiones de Android disponibles para teléfonos y tabletas Nexus. En la actualidad esto cubre los Nexus 6 y los Nexus 9. No es compatible con otros programas de recompensas de Google
Las vulnerabilidades que pueden optar al programa incluyen fallos en el código AOSP, código OEM (librerías y controladores), el kernel, el TrustZone y módulos. Vulnerabilidades en otro código no Android, como por ejemplo el código que se ejecuta en el firmware del chipset, también pueden optar a recompensas si impactan a la seguridad de Android.
Evidentemente la comunicación y divulgación del fallo tiene que ser responsable. De forma lógica, consideran como plazo razonable para una divulgación pública de la vulnerabilidad 90 días, el mismo tiempo que da el Project Zero de Google para la divulgación de vulnerabilidades. Todos los detalles sobre este nuevo programa están disponibles en:
Más información:
Android Security Rewards Program Rules
una-al-dia (30/09/2014) Google eleva las gratificaciones por encontrar vulnerabilidades
Chrome Reward Program Rules
Antonio Ropero
Twitter: @aropero
Deja una respuesta