O Google tem, desde 2010, um programa de recompensas para pesquisadores de segurança que encontram falhas no Chrome. Nesta quinta-feira (18), os valores pagos aos caçadores de bugs estão aumentando em duas ou três vezes: eles podem chegar a US$ 30 mil para vulnerabilidades no Chrome e US$ 150 mil no Chrome OS.
Segundo o Google, mais de 8,5 mil bugs de segurança foram encontrados por meio do Chrome Vulnerability Rewards Program, o que já rendeu mais de US$ 5 milhões aos pesquisadores. O valor da recompensa é definido com base no tipo de vulnerabilidade e na qualidade do relatório fornecido — para ganhar o prêmio máximo, é necessário disponibilizar um exploit funcional ao Google.
O tipo de falha com a maior recompensa é a quebra do sandbox do Chrome — quando um código malicioso é executado fora do ambiente isolado do navegador. Nesse caso, o valor máximo de um relatório básico de vulnerabilidade passou de US$ 5 mil para US$ 15 mil. Para quem fornecer uma documentação detalhada, a recompensa máxima dobrou de US$ 15 mil para 30 mil.
No Chrome OS, o maior interesse do Google é encontrar uma falha que afete um Chromebook ou Chromebox em modo de visitante e que persista mesmo após uma reinicialização. O Google oferecia US$ 50 mil de recompensa, mas ninguém encontrou uma brecha do tipo até agora, então o valor subiu para US$ 100 mil em 2016 e agora está em US$ 150 mil.
A empresa aproveitou para melhorar os valores pagos para falhas no Google Play: brechas que permitam execução de código remoto podem render até US$ 20 mil; roubo de dados privados sobem para US$ 3 mil; e acesso a componentes protegidos de aplicativos também têm recompensa de até US$ 3 mil. Todos os aplicativos de Android do Google participam do programa.
Você pode encontrar mais informações no site do Chrome Vulnerability Reward Program.
Nenhum comentário:
Postar um comentário