Android | Security Rewards Program
El programa Android Security Rewards reconoce las contribuciones de los investigadores de seguridad que invierten su tiempo y esfuerzo en ayudarnos a hacer Android más seguro. A través de este programa proporcionamos recompensas económicas y reconocimiento público por vulnerabilidades reveladas al equipo de seguridad de Android. La cuantía de la recompensa se basa en la gravedad del error y aumenta para los informes completos que incluyen código de reproducción, casos de prueba y parches para solución.
Alcance del Programa
Este programa cubre las vulnerabilidades de seguridad descubiertas en las últimas versiones disponibles de Android para teléfonos Pixel y tabletas. Este conjunto de dispositivos cambiará con el tiempo, pero a partir del 1 de noviembre de 2019 quedan dentro del alcance:
- Pixel 4
- Pixel 3a y Pixel 3a XL
- Pixel 3 y Pixel 3 XL
- Pixel 2 y Pixel 2 XL
Android Security Rewards cubre errores en el código que se ejecuta en dispositivos elegibles y no está cubierto por otros programas de recompensas en Google. Los errores elegibles incluyen los del código AOSP (Android Open Source Project), el código OEM (Original Equipment Manufacturer) como librerías y drivers, el kernel, el código Secure Element y TrustZone OS y los módulos. Las vulnerabilidades en otro código que no sea Android, como el código que se ejecuta en chipset firmware, pueden ser elegibles si afectan a la seguridad de Android OS.
Las aplicaciones desarrolladas por Google y publicadas en Google Play que no son AOSP pueden estar cubiertas por Google VRP, que también incluye vulnerabilidades del lado del servidor.
Las vulnerabilidades que afectan a otros dispositivos de Google (como Android Wear o Project Tango) no son elegibles para Android Security Rewards.
Recompensaremos extra por una sucesión de vulnerabilidades completa (normalmente múltiples vulnerabilidades encadenadas) que demuestra la ejecución de código arbitrario, la filtración de datos o un bypass de bloqueo de pantalla.
Todos los errores deben ser reportados usando la plantilla de errores de seguridad de Android.
Los envíos se pueden enviar directamente a security@android.com (aunque los envíos a través de este canal normalmente no son elegibles para pagos de recompensas). Los mensajes enviados a esta cuenta se pueden cifrar mediante la clave pública PGP de seguridad de Android.
Vulnerabilidades que califican para una recompensa:
En general, recompensaremos vulnerabilidades críticas, altas, moderadas y de baja gravedad. Por lo general, no asignaremos CVE para el nivel más bajo de gravedad.
Los parches que no necesariamente corrigen una vulnerabilidad pero proporcionan un hardening adicional pueden calificar para Google Patch Rewards.
Vulnerabilidades que no califican:
Las siguientes vulnerabilidades generalmente no calificarán para una recompensa:
- Ataques que requieren una interacción compleja del usuario. Por ejemplo, si la vulnerabilidad requiere la instalación de una aplicación y, a continuación, esperar a que un usuario realice un cambio de configuración poco probable.
- Ataques de phishing que implican engañar al usuario para que introduzca las credenciales.
- Errores que solo afectan a las userdebug builds.
- Bugs que simplemente hacen que una aplicación se bloquee
- Problemas con un impacto de seguridad insignificante, como se describe en Bug Hunter University, con algunas excepciones.
Recompensas por vulnerabilidades de seguridad
El importe de la recompensa depende de la gravedad de la vulnerabilidad y de la calidad del informe. Un informe completo incluye tantos detalles como sea posible, una prueba de concepto, volcado de memoria si está disponible y cualquier paso adicional de reproducción.
Un informe de error válido pero de baja calidad puede recibir hasta $200.
Los envíos de parches pueden calificar para una recompensa de hasta $1,000 cada uno.
Google ofrece la opción de donar tu recompensa a una organización benéfica. En ese caso, duplicará su donación (sujeto a su discreción). Cualquier recompensa que no se reclame después de 12 meses será donada a una organización benéfica de su elección.
La siguiente tabla muestra las recompensas habituales elegidas para los errores más comunes:Ejecución de Código
Target |
Recompensa |
|---|---|
Pixel Titan M |
Hasta $1,000,000 |
Secure Element |
Hasta $250,000 |
Trusted Execution Environment |
Hasta $250,000 |
Kernel |
Hasta $250,000 |
Privileged Process |
Hasta $100,000 |
Filtración de Datos
Target |
Recompensa |
|---|---|
High value data secured by Pixel Titan M |
Hasta $500,000 |
High value data secured by a Secure Element |
Hasta $250,000 |
Bypass de Bloqueo de Pantalla
Target |
Recompensa |
|---|---|
Lockscreen bypass |
Hasta $100,000 |
Esta recompensa es aplicable a los exploits de software que afectan a múltiples o a todos los dispositivos. Los ataques de suplantación de identidad que utilizan datos biométricos sintéticos (máscaras falsas, huellas dactilares, etc.) no son elegibles para la recompensa.
Fuente: https://www.google.com/about/appsecurity/android-rewards/
Entradas
No hay comentarios