Google presenta un programa de recompensas por fallos para aplicaciones Android

Publicado por: Manuel Abreu Ortiz - social@manuelabreuo.com

Google ha mejorado la seguridad de sus aplicaciones Android de origen mediante el lanzamiento del Programa de Recompensa de Vulnerabilidades Móviles (Mobile VRP).

El gigante tecnológico hizo el anuncio en Twitter el lunes, horas después de publicar la nueva iniciativa.

El objetivo de este programa es animar a investigadores y expertos en seguridad a identificar y notificar vulnerabilidades en aplicaciones Android desarrolladas o mantenidas por Google.

El programa reconoce vulnerabilidades que se dividen en dos grandes categorías: Ejecución arbitraria de código (ACE) y Robo de datos confidenciales.

El VRP para móviles divide las aplicaciones en tres niveles en función de su asociación con los datos del usuario o los servicios de Google. Cada nivel tiene sus correspondientes importes de recompensa, que dependen del tipo de vulnerabilidad y del escenario de explotación.

En el nivel 1, las recompensas máximas oscilan entre 750 dólares para escenarios MiTM (Man-in-the-Middle) que impliquen el robo de datos confidenciales y 30.000 dólares para vulnerabilidades ACE remotas/sin interacción con el usuario.

“El jurado puede aplicar una bonificación discrecional de 1.000 dólares, por ejemplo, por una vulnerabilidad especialmente sorprendente o una redacción excepcional”, rezan las normas del programa.

Google aclaró que sólo las aplicaciones publicadas por los desarrolladores de la nueva lista o las aplicaciones de la lista de nivel 1 pueden optar a las recompensas. Sin embargo, la empresa reconoció que otros fallos pueden optar a recompensas si demuestran un impacto en la seguridad.

Al ofrecer recompensas por las contribuciones, Google dijo que espera mantener la confianza de los usuarios y salvaguardar los datos sensibles.

El VRP para móviles llega semanas después de que Google diera a conocer una nueva política para las aplicaciones de Android que permiten la creación de cuentas.

Info – Ciberseguridad Latam

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *