La
preocupación de Google por la seguridad es algo conocido. En esta ocasión,
promueve una nueva iniciativa para intentar mejorar su sistema operativo para
móviles: un programa de recompensas por
encontrar y comunicar responsablemente vulnerabilidades en Android.
Esta política ha contribuido a
hacer que Chrome sea más seguro. Sin duda con la misma idea, ha creado crea un
nuevo programa de recompensas que bajo el nombre de
Android
Security Rewards pretende
recompensar
las contribuciones de los investigadores de seguridad que invierten su tiempo y
esfuerzo en conseguir que Android sea más seguro.
A través de este programa la
compañía de Mountain View pretende ofrecer recompensas económicas y el
reconocimiento público de las vulnerabilidades descritas. Como es habitual, el
nivel de recompensa se basa en la gravedad de las vulnerabilidades y aumenta si
los informes ofrecidos tienen mayor calidad, incluyen código para reproducir el
fallo, casos de prueba o parches.
Las cantidades de recompensa base
son 2.000 dólares para vulnerabilidades críticas, 1.000 $ para las de gravedad
alta, y 500 para las moderadas. Sin embargo, en función de la gravedad del
problema, la calidad del informe, exploits, etc. Pueden llegar a subir hasta los 38.000 dólares.
En esta ocasión Google ofrece
recompensas por las vulnerabilidades de seguridad descubiertas en las últimas
versiones de Android disponibles para teléfonos y tabletas Nexus. En la actualidad esto cubre los Nexus 6 y
los Nexus 9. No es compatible con otros programas de recompensas de Google
Las vulnerabilidades que pueden
optar al programa incluyen fallos en el código AOSP, código OEM (librerías y controladores),
el kernel, el TrustZone y módulos. Vulnerabilidades en otro código no Android,
como por ejemplo el código que se ejecuta en el firmware del chipset, también pueden
optar a recompensas si impactan a la seguridad de Android.
Evidentemente la comunicación y divulgación
del fallo tiene que ser responsable. De forma lógica, consideran como plazo razonable
para una divulgación pública de la vulnerabilidad 90 días, el mismo tiempo que
da el Project Zero de Google para la divulgación de vulnerabilidades. Todos los
detalles sobre este nuevo programa están disponibles en:
Más información:
Android Security Rewards Program Rules
una-al-dia (30/09/2014) Google eleva las gratificaciones por
encontrar vulnerabilidades
Chrome Reward Program Rules
Antonio Ropero