Las fallas de seguridad en decenas, o incluso cientos, de aplicaciones para Android disponibles en Play Store siguen siendo un serio inconveniente para Google, desarrolladores y especialmente para los usuarios. Acorde a especialistas en análisis de vulnerabilidades, la compañía actualizará su programa de recompensas, conocido como Google Play Security Reward Program (GPSRP), esperando reducir los riesgos de seguridad para los usuarios.
La modificación más importante que ha sufrido este programa es que ahora los investigadores podrán aspirar a recibir recompensas por reportar las vulnerabilidades de seguridad en aplicaciones desarrolladas por terceros ajenos a Google.
“El alcance de nuestro programa de recompensas incrementará, pues ahora incluye todas las aplicaciones disponibles en Google Play Store que cuenten con al menos 100 millones de descargas”, menciona Patrick Mutchler, experto en análisis de vulnerabilidades de Google. “Los investigadores podrán recibir recompensas por sus informes sin importar que los desarrolladores de las apps vulnerables no cuenten con un programa de recompensas”, añadió.
Bajo los nuevos estándares de Google, si un experto en análisis de vulnerabilidades descubre una falla de seguridad en una aplicación que cumpla con los requerimientos mencionados anteriormente, Google servirá como plataforma de divulgación responsable de la vulnerabilidad, notificando a los desarrolladores y otorgando la recompensa a los investigadores. Por otra parte, si los desarrolladores de las aplicaciones vulnerables cuentan con un programa de divulgación de fallas, podrán aspirar a cobrar la recompensa otorgada por los desarrolladores y Google entregará un bono por el reporte.
Los principales beneficiarios de esta decisión son los investigadores independientes, pues se les está ofreciendo una forma fácil de acceder a recompensas por su trabajo; además, los desarrolladores de apps populares pero que no cuentan con los recursos suficientes para implementar programas de recompensas también experimentarán los beneficios de la nueva política de Google.
Además de este anuncio, Google realizó algunos cambios mínimos en los requisitos que un reporte debe cumplir para aspirar a recibir una recompensa, especificando qué clase de fallas de seguridad participan en el programa GPSRP:
- Vulnerabilidades de ejecución remota de código (RCE): Los investigadores deben comprobar que es posible ejecutar código ARM nativo en el dispositivo de la víctima sin su aprobación o consentimiento. Se ofrecen hasta 20 mil dólares por reportes de esta clase
- Robo o exposición de datos confidenciales: Se refiere al acceso no autorizado a la información personal de la víctima almacenada en su dispositivo móvil. Para recibir la recompensa, el investigador debe comprobar que es posible extraer información de un equipo con Android con las configuraciones de seguridad de fábrica. Google otorga recompensas de hasta 3 mil dólares por estas fallas
- Acceso a componentes de aplicaciones protegidos: Esta falla se presenta cuando uno de los componentes de una app procesa una Intent anterior desde otra app sin validar correctamente, provocando que la app objetivo realice una operación para la que la app de envío no tiene permisos. Estas fallas también son recompensadas con 3 mil dólares por Google
Especialistas en análisis de vulnerabilidades del Instituto Internacional de Seguridad Cibernética (IICS) consideran que al expandir este programa Google también intenta que los desarrolladores se involucren en su método de reporte de vulnerabilidades en lugar de hacer publicaciones de las fallas sin notificar a los desarrolladores, pues la revelación al público de estas fallas en ocasiones resulta benéfica para los actores de amenazas.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad