Google lanza nuevo programa de recompensas para apps en Play Store

Las fallas de seguridad en decenas, o incluso cientos, de aplicaciones para Android disponibles en Play Store siguen siendo un serio inconveniente para Google, desarrolladores y especialmente para los usuarios. Acorde a especialistas en análisis de vulnerabilidades, la compañía actualizará su programa de recompensas, conocido como Google Play Security Reward Program (GPSRP), esperando reducir los riesgos de seguridad para los usuarios.

La modificación más importante que ha sufrido este programa es que ahora los investigadores podrán aspirar a recibir recompensas por reportar las vulnerabilidades de seguridad en aplicaciones desarrolladas por terceros ajenos a Google.

“El alcance de nuestro programa de recompensas incrementará, pues ahora incluye todas las aplicaciones disponibles en Google Play Store que cuenten con al menos 100 millones de descargas”, menciona Patrick Mutchler, experto en análisis de vulnerabilidades de Google. “Los investigadores podrán recibir recompensas por sus informes sin importar que los desarrolladores de las apps vulnerables no cuenten con un programa de recompensas”, añadió.

Bajo los nuevos estándares de Google, si un experto en análisis de vulnerabilidades descubre una falla de seguridad en una aplicación que cumpla con los requerimientos mencionados anteriormente, Google servirá como plataforma de divulgación responsable de la vulnerabilidad, notificando a los desarrolladores y otorgando la recompensa a los investigadores. Por otra parte, si los desarrolladores de las aplicaciones vulnerables cuentan con un programa de divulgación de fallas, podrán aspirar a cobrar la recompensa otorgada por los desarrolladores y Google entregará un bono por el reporte.

Los principales beneficiarios de esta decisión son los investigadores independientes, pues se les está ofreciendo una forma fácil de acceder a recompensas por su trabajo; además, los desarrolladores de apps populares pero que no cuentan con los recursos suficientes para implementar programas de recompensas también experimentarán los beneficios de la nueva política de Google.

Además de este anuncio, Google realizó algunos cambios mínimos en los requisitos que un reporte debe cumplir para aspirar a recibir una recompensa, especificando qué clase de fallas de seguridad participan en el programa GPSRP:

Vulnerabilidades de ejecución remota de código (RCE): Los investigadores deben comprobar que es posible ejecutar código ARM nativo en el dispositivo de la víctima sin su aprobación o consentimiento. Se ofrecen hasta 20 mil dólares por reportes de esta clase
Robo o exposición de datos confidenciales: Se refiere al acceso no autorizado a la información personal de la víctima almacenada en su dispositivo móvil. Para recibir la recompensa, el investigador debe comprobar que es posible extraer información de un equipo con Android con las configuraciones de seguridad de fábrica. Google otorga recompensas de hasta 3 mil dólares por estas fallas
Acceso a componentes de aplicaciones protegidos: Esta falla se presenta cuando uno de los componentes de una app procesa una Intent anterior desde otra app sin validar correctamente, provocando que la app objetivo realice una operación para la que la app de envío no tiene permisos. Estas fallas también son recompensadas con 3 mil dólares por Google

Especialistas en análisis de vulnerabilidades del Instituto Internacional de Seguridad Cibernética (IICS) consideran que al expandir este programa Google también intenta que los desarrolladores se involucren en su método de reporte de vulnerabilidades en lugar de hacer publicaciones de las fallas sin notificar a los desarrolladores, pues la revelación al público de estas fallas en ocasiones resulta benéfica para los actores de amenazas.

Alisa Esage G

Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.

Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/

También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad

Google lanza nuevo programa de recompensas por vulnerabilidades en apps de Android

Las 11 reglas esenciales de seguridad en la nube de Falco para proteger aplicaciones en contenedores sin costo

Cómo comprobar si una distro de Linux está comprometida por la puerta trasera XZ Utils en 6 pasos

La estrategia de gestión continua de exposición a amenazas CTEM paso a paso para AWS y AZURE

Malware PLC basado en web: una nueva técnica para hackear sistemas de control industrial

Seguridad API: 10 estrategias para mantener seguras las integraciones de API

Cómo robar la contraseña de Windows a través del correo de Outlook

11 formas de hackear ChatGpt y sistemas de IA generativa

CANAL DE NOTICIAS DE CIBERSEGURIDAD