Google promete pagar quase R$ 150 mil para quem encontrar falhas no Android

O Google lançou mais um programa que pagará recompensas por falhas encontradas nos aplicativos Android da empresa; veja valores
Pedro Spadoni24/05/2023 15h56
Boneco do Android com linhas de código de programação ao fundo
(Imagem: Primakov/Shutterstock)
Compartilhe esta matéria
Ícone Whatsapp Ícone Whatsapp Ícone X (Tweeter) Ícone Facebook Ícone Linkedin Ícone Telegram Ícone Email

O Google lançou o Mobile VRP (Mobile Vulnerability Rewards Program), um programa de recompensas por bugs que pagará pesquisadores de segurança por falhas encontradas nos aplicativos Android da empresa.

O que você precisa saber:

  • O Google lançou mais um programa de recompensas para quem encontrar falhas em aplicativos Android da empresa;
  • O objetivo principal do programa é acelerar o processo de encontrar e corrigir pontos fracos em aplicativos para Android;
  • As recompensas vão de R$ 3,7 mil a R$ 150 mil (valores aproximados e em conversão direta, na cotação atual do dólar).

Como a empresa divulgou, numa rede social, o principal objetivo por trás do Mobile VRP é acelerar o processo de encontrar e corrigir pontos fracos em aplicativos Android desenvolvidos ou mantidos pelo Google.

Leia mais:

Recompensas do Google

Pessoa segurando iPhone nas mãos com Google aberto em navegador
(Imagem: BongkarnGraphic/Shutterstock)

Os aplicativos no escopo do Mobile VRP incluem aqueles desenvolvidos pela Google LLC, Developed with Google, Research at Google, Red Hot Labs, Google Samples, Fitbit LLC, Nest Labs Inc, Waymo LLC e Waze.

A lista de aplicativos no escopo também contém o que o Google descreve como aplicativos Android de “Nível 1”, que inclui os seguintes aplicativos:

  • Google Play Services;
  • AGSA;
  • Google Chrome;
  • Google Cloud;
  • Gmail;
  • Área de trabalho remota do Google Chrome.

As vulnerabilidades qualificadas incluem aquelas que permitem execução arbitrária de código (ACE) e roubo de dados confidenciais, além de pontos fracos que podem se relacionar a outras falhas para levar a um impacto semelhante.

Isso inclui permissões órfãs, path traversal ou falhas de zip path traversal que levam à gravação arbitrária de arquivos, redirecionamentos de intenção que podem ser explorados para iniciar componentes de aplicativos não exportados e bugs de segurança causados ​​pelo uso inseguro de intenções pendentes.

Valores

Celular com imagem do logomarca do Android 14 aberta
(Imagem: CNET)

O Google diz que recompensará no máximo US$ 30 mil (aproximadamente R$ 150 em conversão direta, na cotação atual) pela execução remota de código sem interação do usuário. Empresa também informou que pagará até US$ 7,5 mill (R$ 37,5 mil) por bugs que permitem o roubo remoto de dados confidenciais.

Confira abaixo a tabela com valores (aproximados, de acordo com a cotação atual do dólar) e categorias do programa de recompensas do Google:

CategoriaRemoto/sem interação do usuárioUsuário deve seguir link que explora app vulnerávelUsuário deve instalar app malicioso ou app da vítima está configurado de maneira não padrãoInvasor deve estar na mesma rede
Execução de Código ArbitrárioR$ 150 milR$ 75 milR$ 22,5 milR$ 11,2 mil
Roubo de dados confidenciaisR$ 37,5 milR$ 22,5 milR$ 11,2 milR$ 3,7 mil
Outras vulnerabilidadesR$ 37,5 milR$ 22,5 milR$ 11,2 milR$ 3,7 mil

Em agosto de 2022, a empresa anunciou que pagaria pesquisadores de segurança para encontrar bugs nas últimas versões lançadas do software de código aberto do Google (Google OSS), incluindo seus projetos mais confidenciais, como Bazel, Angular, Golang, buffers de protocolo e Fuchsia.

Desde o lançamento de seu primeiro VRP, em 2010, o Google pagou mais de US$ 50 milhões (R$ 250 milhões) a milhares de pesquisadores de segurança em todo o mundo por relatar mais de 15 mil vulnerabilidades.

Já assistiu aos novos vídeos no YouTube do Olhar Digital? Inscreva-se no canal!

Pedro Spadoni
Redator(a)

Pedro Spadoni é jornalista formado pela Universidade Metodista de Piracicaba (Unimep). Já escreveu para sites, revistas e até um jornal. No Olhar Digital, escreve sobre (quase) tudo.