DESAFIO! Google vai pagar R$ 150 mil para quem descobrir bugs no Android

O Google lançou um novo programa de recompensa financeira para quem identificar bugs e falhas de segurança nos aplicativos Android da empresa.

O Mobile VRP (Mobile Vulnerability Rewards Program) é voltado para pesquisadores de segurança e pretende otimizar o processo de correção dos pontos fracos dos softwares.

A recompensa, em conversão direta, oscila a partir de R$ 3,7 mil e pode chegar a R$ 150 mil, a depender do tipo de descoberta feita. Com certeza, uma “bolada” atraente e que deve despertar o interesse de muitos.

Apps contemplados

O programa foi divulgado pelo Google numa rede social. Entre as regras expostas, está também a lista de aplicativos que serão contemplados pela recompensa.

O escopo do Mobile VRP inclui apps que foram desenvolvidos pela Google LLC, Developed with Google, Research at Google, Red Hot Labs, Google Samples, Fitbit LLC, Nest Labs Inc, Waymo LLC e Waze.

Além disso, foram incluídos também aqueles que o Google costuma chamar de apps Android de “Nível 1”, que são: Google Play Services; AGSA; Google Chrome; Google Cloud; Gmail; e área de trabalho remota do Google Chrome.

Regras

Vale destacar que não será qualquer vulnerabilidade ou falha que renderá alguma recompensa. Se você ficou interessado no programa, é bom prestar atenção às regras.

Entre as falhas qualificadas, estão aquelas que permitem execução arbitrária de código (ACE) e roubo de dados confidenciais, além de pontos fracos que podem se somar a outras falhas e desencadear um risco semelhante.

A partir dessas características, podemos concluir que o programa contempla ações como permissões órfãs, path traversal ou falha de zip path traversal, redirecionamentos de intenção e bugs de segurança.

Valores

A informação divulgada pelo Google é de que a recompensa será de no máximo US$ 30 mil, ou seja, algo em torno de R$ 150 mil. Esse valor será pago quando identificada alguma execução remota de código sem interação do usuário.

A tabela prevê, ainda, o pagamento de até US$ 7,5 mil (R$ 37,5 mil) por bugs que possibilitam o furto remoto de dados e informações confidenciais.

Ações anteriores

Essa não é a primeira vez que a companhia cria um programa de recompensa. Em agosto de 2022, por exemplo, algo do tipo foi idealizado para descobrir falhas nas últimas versões do software de código aberto do Google, o Google OSS.

A ação incluiu, ainda, novidades que eram secretas para o grande público, como Bazel, Angular, Golang, buffers de protocolo e Fuchsia.

O primeiro VRP foi realizado pelo Google em 2010 e, desde então, a companhia já pagou mais de US$ 50 milhões a pesquisadores de segurança em várias partes do mundo. Mais de 15 mil falhas já foram identificadas por eles.