Google pagó más de 10 millones de dólares el año pasado a investigadores que informaron errores en su programa de recompensas por vulnerabilidades. El programa de errores de Google se ha estado ejecutando desde 2010. La idea es que, si los investigadores de seguridad encuentran una falla en el software de Google, tengan un lugar donde informar. sus hallazgos y pueden reclamar una recompensa monetaria. Hay varios programas diferentes que cubren tecnologías específicas de Google, con diferentes pagos potenciales. En el extremo superior, Google ha ofrecido una recompensa de 1 millón de dólares, abierta a los investigadores que puedan encontrar un exploit remoto para su Pixel Titan M que pueda activarse con cero clics. El proceso de espacio aislado en Chrome le generará 40.000 dólares, mientras que otros errores le pagarán mucho menos. Google dijo que, a lo largo de 2023, pagó 10 millones de dólares a más de 600 investigadores en 68 países. Eso es significativamente menor que en 2022, cuando pagó $ 12 millones. Sin embargo, la cantidad que Google gasta en estas recompensas ha ido creciendo de manera constante durante años. En 2018, solo ascendía a 3,4 millones de dólares. Desde 2010, Google ha gastado 59 millones de dólares en recompensas. El mayor pago en 2023 fue de 113.337 dólares. El gigante tecnológico no dijo qué vulnerabilidad se descubrió en este caso. En comparación, la recompensa más alta en 2022 fue de 605.000 dólares (también el pago individual más alto de la historia) por un error cubierto por el programa de vulnerabilidad de Android. Google ha centrado su atención en las fallas de Android. Un tercio del gasto del año pasado, 3,4 millones de dólares, se destinó a pagos por las vulnerabilidades de Android, dijo Google. La compañía aumentó su recompensa máxima por vulnerabilidades críticas de Android a 15.000 dólares el año pasado y agregó Wear OS al programa para fomentar la investigación de seguridad en tecnología portátil. Google dijo que ha visto un «enfoque más agudo» en problemas de mayor gravedad de Android como resultado de los cambios. ha hecho al programa. Dijo que un evento de piratería en vivo para Wear OS y Android Automotive OS resultó en 70.000 dólares en recompensas para los investigadores que encontraron más de 20 vulnerabilidades críticas. La empresa también gastó 2,1 millones de dólares en recompensas para los investigadores de seguridad que entregaron 359 informes únicos de Errores de seguridad del navegador Chrome. Eso es menos que en 2022, cuando los errores de Chrome generaron recompensas de más de $ 4 millones. Parte de la razón es que, con Chrome 116, Google introdujo MiraclePtr, una tecnología para evitar la explotación de errores de uso después de la liberación. en efecto, hace que sea más difícil encontrar errores de uso después de liberación que no sean del renderizador totalmente explotables en Chrome y resultó en cantidades de recompensa más bajas para los errores protegidos por MiraclePtr. Google dijo que si bien se espera que el código protegido por MiraclePtr sea resistente a la explotación de errores de uso después de la liberación que no son del renderizador, ha lanzado una recompensa MiraclePtr Bypass para fomentar la investigación sobre posibles formas de evitar esta nueva protección. También lanzó un ‘bono de explotación de cadena completa’, que ofrece el triple de la cantidad de recompensa completa estándar para el primer Chrome. Se reporta un exploit de cadena completa y se duplica el monto de recompensa total estándar para cualquier informe de seguimiento. Para ser recompensado, el exploit de cadena completa debe resultar en un escape de la zona de pruebas del navegador Chrome, con una demostración de control del atacante o ejecución de código fuera de la zona de pruebas. Google dijo que estas dos grandes recompensas aún no han sido reclamadas, por lo que está dejando la puerta abierta en 2024 para cualquier investigador que desee afrontar estos desafíos. En 2023, el programa Chrome también aumentó las recompensas por errores V8 en canales más antiguos de Chrome, con una bonificación adicional por errores existentes antes del 105. Google dijo que esto resultó en “algunos informes muy impactantes”. de errores de V8 existentes desde hace mucho tiempo, incluido un informe de un error de optimización V8 JIT en Chrome desde al menos el año 91”, lo que resultó en una recompensa de $30,000 para ese investigador. Google también está analizando la seguridad de la IA generativa, organizando un evento de piratería en vivo dirigido sus productos de modelo de lenguaje grande que generaron 35 informes y más de $87,000 en recompensas. La compañía publicó recientemente sus criterios para errores en productos de IA, cuyo objetivo es facilitar la búsqueda de vulnerabilidades de seguridad tradicionales, así como riesgos específicos de los sistemas de IA. Las categorías incluyen «ataques rápidos», «modelos de manipulación» y «perturbación adversaria». Google no es la única empresa que ejecuta un programa de recompensa por errores. Entre julio de 2018 y junio de 2023, Microsoft pagó 58,9 millones de dólares en recompensas.

Source link