Cada vez es más peligroso utilizar servicios online, y sin embargo, cada vez más y más servicios de nuestra vida se gestionan en Internet. Así pues, es lógico que como némesis de los grupos y mafias de piratas informáticos hayan nacido esos hackers éticos que nos ayudan descubriendo vulnerabilidades en prácticamente todos los sistemas y aplicaciones que utilizamos a diario.
En el caso de Google, está claro que sus programas de bug hunters funcionan, y eso a pesar de que al gigante de Mountain View le cuesta un pico mantenerlos (algunas de las vulnerabilidades reportadas se han pagado incluso hasta a 70.000 dólares), pues sólo en 2022 se resolvieron nada menos que 696 problemas de seguridad gracias a los hackers éticos que trabajan alrededor del ecosistema Google-Android.
En 2023 no se detendrá la carrera, y es que siguiendo la pista de Bleeping Computer, ya sabemos que el Programa de Recompensas por Vulnerabilidades Móviles (‘Mobile VRP’) extenderá su vigencia pagando suculentas cantidades de dinero a los investigadores y expertos de seguridad de todo el mundo que detecten y reporten vulnerabilidades y fallos en todas apps para Android de la compañía californiana.
Así lo anunciaban las redes sociales del programa ‘Mobile VRP’ de Google:
¡Estamos emocionados de anunciar el nuevo ‘Mobile VRP’! Estamos buscando cazadores de bugs que nos ayuden a encontrar y corregir vulnerabilidades en nuestras aplicaciones móviles.
We are excited to announce the new Mobile VRP! We are looking for bughunters to help us find and fix vulnerabilities in our mobile applications. https://t.co/HDs1hnGpbH
— Google VRP (Google Bug Hunters) (@GoogleVRP) May 22, 2023
La lista de aplicaciones que entran en el programa y permitirán obtener ingresos a los hackers éticos es enorme, pues no sólo están las que aparecen en Play Store como desarrolladas por Google LLC, sino también todas las demás realizadas en su ecosistema o por sus filiales: Desarrolladas con Google, Research at Google, Red Hot Labs, Google Samples, Fitbit LLC, Nest Labs Inc., Waymo LLC y Waze.
Por supuesto no todo valdrá igual, sino que habrá varios niveles según los que se repartirán diferentes cantidades de dinero, siendo los paquetes que siguen los del primer nivel:
- Google Play Services (com.google.android.gms)
- AGSA (com.google.android.googlequicksearchbox)
- Google Chrome (com.android.chrome)
- Google Cloud (com.google.android.apps.cloudconsole)
- Gmail (com.google.android.gm)
- Chrome Remote Desktop (com.google.chromeremotedesktop)
Adicionalmente, también habrá diferentes tipos de fallos que califican, como los que permiten la ejecución de código arbitrario y las debilidades que puedan encadenarse con otras fallas para generar impactos similares, el robo de datos confidenciales, los permisos huérfanos, cruces de rutas que conducen a la escritura de archivos, redireccionamientos de intentos que puedan explotarse para iniciar componentes o apps y todo tipo de errores causados por el uso inseguro o intentos pendientes.
Las recompensas irán desde los 750 hasta los 30.000 dólares según el tipo de error detectado y la app que esté implicada, con el fin de «reconocer las contribuciones y el trabajo de todos los investigadores que ayudan a Google a mejorar la seguridad de sus aplicaciones».
Desde el inicio de los programas ‘Mobile VRP’ de Google en 2010, el gigante de Mountain View ha repartido más de 50 millones de dólares a miles de ‘bughunters’ que han reportado más de 15.000 vulnerabilidades en estos 13 años.
La cosa ha ido creciendo, pues sólo en 2022 se entregaron unos 12 millones de dólares de esos 50 millones acumulados en 13 años, incluyendo el récord en una sola vulnerabilidad que implicaba una cadena de explotación de Android de varios errores de seguridad encadenados, por la que se pagó al investigador nada menos que la cantidad de 605.000 dólares nada despreciable.
¡Si tenéis nociones y os gusta el ‘hacking ético’, aquí tenéis un motivo más para seguir formándoos e investigando!
El artículo Google te pagará hasta 30.000 dólares por encontrar fallos en sus apps para Android fue publicado originalmente en Andro4all.