Android es el sistema operativo móvil más utilizado en todo el mundo. Todos los meses, Google lanza una serie de parches de seguridad para solucionar todos los posibles fallos de seguridad detectados en el sistema operativo por sus propios ingenieros y, poco a poco, hacerlo más seguro y blindado frente a las amenazas que se esconden en la red. Además, cada poco tiempo, lanza una serie de concursos y programas de recompensas con los que recompensar a los expertos de seguridad que detecten fallos en el sistema operativo y evitar que estos puedan terminar en manos de piratas informáticos al ser vendidos en la Deep Web.
El pasado mes de septiembre, Google dio comienzo un concurso denominado como Android Hacking Contest mediante el cual quería animar a los expertos de seguridad a encontrar y reportar vulnerabilidades para su sistema operativo con 3 grandes premios de 200.000, 100.000 y 50.000 dólares para las 3 vulnerabilidades más graves con sus correspondientes exploits. Este concurso ha estado abierto 6 meses y, tras llegar a su fin, Google ha anunciado que ninguno de los fallos reportados, que no son pocos, ha sido digno de merecer la recompensa, reafirmando así la seguridad del sistema operativo móvil más utilizado en todo el mundo.
Este concurso ha sido controlado principalmente por Google Project Zero, el conocido y polémico grupo de seguridad de la compañía. Este grupo de expertos de seguridad se basaba principalmente en 3 factores para decidir si la vulnerabilidad era digna de optar al premio o no. El primero de los factores, y el más importante simplemente para poder optar a participar, era el nivel de dificultad para poder explotarse, ya que los expertos de seguridad debían explotar un Nexus 6P o Nexus 5X actualizado a la última versión de Android conociendo tan solo el correo y el número de teléfono de la víctima. Además, la víctima solo podría ejecutar la app de Gmail o SMS, nada más.
Aunque varios expertos de seguridad han reportado vulnerabilidades, e incluso exploits parciales, ninguno de ellos ha cumplido con todos los requisitos para poder optar al premio. Además, de paso, Google ha recopilado todas las vulnerabilidades reportadas para solucionarlas, además, sin pagar una recompensa a los participantes, ya que esa era una de las condiciones, motivo por lo que algunos expertos han decidido quedarse sus propias vulnerabilidades para ellos para poder participar en otros concursos con recompensa, por ejemplo, al Bug Bounty clásico.
Un concurso muy difícil para una recompensa tan baja
Algunos usuarios se han quejado de la dificultad de este concurso de Google para un premio máximo de tan solo 200.000 dólares. Otros concursos similares, como, por ejemplo, Zerodium, ofrecen a los participantes recompensas de hasta 200.000 dólares por encontrar simplemente una vulnerabilidad zero-day y lanzar un exploit que permita hacer root en el dispositivo.
Google se defiende de estas acusaciones alegando que el año pasado ha pagado un total de 1 millón de dólares en fallos de seguridad para Android. Este concurso ofrecía recompensas muy altas, pero también tenía unos requisitos muy elevados para poder optar al premio. Además, se ha hecho con un número curioso de vulnerabilidades desconocidas de forma gratuita que solucionará en los próximos meses, siendo este, sin duda, uno de los principales secretos de los programas Bug Bounty.
Esta misma semana, Google publicará una nueva ración de parches de Android para los usuarios de dispositivos Nexus la cual solucionará, seguro, alguna de estas vulnerabilidades reportadas, haciendo así que, poco a poco, este sistema operativo sea cada vez más seguro y volviendo a mostrar su poder como sistema operativo.
Fuente: https://www.redeszone.net
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad