Google anunció recientemente actualizaciones importantes de su programa de recompensas por vulnerabilidades para el sistema operativo y los dispositivos Android. Como se mencionó, Google ahora utilizará nuevos criterios de evaluación para los informes de vulnerabilidad que garantizan un mejor impacto en la seguridad.
Google Android, reglas de recompensa de vulnerabilidad de dispositivo actualizadas
Según una publicación reciente de Sarah Jacobus del equipo de recompensas por vulnerabilidad de Google, el gigante tecnológico está actualizando su programa de recompensa por vulnerabilidad que cubre el sistema operativo Android y los dispositivos Android.
Específicamente, las últimas actualizaciones se enfocan en cómo la empresa maneja varios informes de vulnerabilidad. Por ejemplo, la empresa ahora calificará los informes de errores como de calidad alta, media o baja, según los detalles proporcionados en los informes. Esta nueva configuración alentará a los investigadores de seguridad a enviar informes detallados que, a su vez, ayudarán a Google a abordar mejor los problemas de seguridad.
Con respecto a los requisitos de Google para el informe de vulnerabilidad perfecto, la publicación menciona los siguientes parámetros.
- Detalles de vulnerabilidad con el nombre y la versión de los dispositivos respectivos.
- Análisis completo de la causa raíz de la vulnerabilidad con el código fuente respectivo que requiere la reparación.
- Prueba de concepto clara en formatos comprensibles (videos, informes de depuración, etc.).
- Guía paso a paso para que los desarrolladores reproduzcan la vulnerabilidad.
- Información sobre el nivel de acceso o ejecución obtenido tras explotar la vulnerabilidad.
Aunque estos parámetros pueden parecer intimidantes, Google ha anunciado otra ventaja para motivar aún más a los investigadores a enviar informes detallados. Específicamente, la compañía aumentó las recompensas por errores a $15,000 para las vulnerabilidades más críticas con informes de la más alta calidad.
Además, otra actualización importante de la configuración de VRP existente es la limitación de la atribución de CVE a las vulnerabilidades. Google ya no asignará CVE a fallas de gravedad moderada. En cambio, solo informará las ID de CVE para vulnerabilidades críticas y de alta gravedad.
Mientras los nuevos criterios estén vigentes, Google resaltará cualquier otro cambio en las reglas de VRP en la página de reglas públicas respectiva. Los investigadores interesados deben seguir revisando esta página para conocer las reglas más recientes antes de enviar sus informes de errores.
Háganos saber sus pensamientos en los comentarios.