A Google aumentou consideravelmente as recompensas dadas para especialistas em TI que conseguirem identificar falhas de segurança no sistema operacional móvel da empresa, o Android.

Com a iniciativa, hackers que conseguem encontrar algum bug que permita a execução remota de código no sistema podem ser premiados com até US$ 5 mil em dinheiro (o prêmio anterior não passava de US$ 1 mil).

Além disso, vulnerabilidades que permitem a transferência de informações sensíveis sem criptografia, bem como falhas que abrem o acesso a contas protegidas de aplicações também entraram no escopo das premiações.

O roubo de dados privados, incluindo informações de identificação pessoal e outras que podem garantir acesso do invasor à conta do usuário, também fazem parte dessa nova categoria de bugs.

Até o momento, a Google entregou US$ 2,7 milhões em prêmios derivados do programa. O maior pagamento foi de US$ 112,5 mil, pela identificação de um exploit para o Pixel, que permitia a execução remota de código no sandbox do Chrome. O especialista responsável por achar a falha foi o chinês Guang Gong.

Primeiros passos

O programa de recompensas para falhas no Android foi iniciado no ano passado, em uma parceria da Google com a HackerOne. Chamada de Google Play Security Reward Program, a iniciativa engloba uma porção de aplicativos amplamente utilizados pelo público, como Dropbox, Tinder, Fitbit, Pandora, Line, Duolingo, VLC, Telegram, entre outros, e foi descrita pela HackerOne como “o primeiro e único programa de recompensas de falhas para um ecossistema de aplicativos.

A HackerOne é uma plataforma independente de programa de recompensas para falhas. De acordo com a companhia, novidades devem ser englobadas no programa em breve, permitindo que mais desenvolvedores queiram fazer parte da iniciativa.

Ainda segundo a HackerOne, mais de 60 mil falhas de segurança válidas foram identificadas até o momento por meio do programa de recompensas da empresa. Além disso, já foram entregues cerca de US$ 75 milhões em prêmios para especialistas em segurança desde 2012, quando a plataforma foi fundada.