El apoyo de la comunidad es en la actualidad un elemento clave que suelen usar empresas y estudios, máxime a la hora de probar software como juegos o sistemas operativos. Y recompensar a aquellos usuarios que dedican su tiempo es una forma de asegurarse tanto el compromiso de estos como el apoyo de otros nuevos. Si se te da bien este mundillo y eres bueno detectando fallos y otras anomalías en un software, presta atención, porque gracias al programa Android Security Rewards puedes ganar mucho dinero.
Programa de Recompensas
Fue hace un año cuando Google añadió este programa a su veterano Google Vulnerability Rewards Program, centrándose como objetivo primario en mejorar la seguridad de los dispositivos Nexus y la seguridad Android. Y en estos 12 meses se ha probado su efectividad a todos los niveles, ya que más del 25% de los fallos que fueron reportados sirvieron para mejorar el código que se suele usar fuera del Android Open Source Project, ayudando así a mejorar la seguridad en otros terminales del mercado y no solamente los Nexus (aunque el blog de Android no da pistas sobre qué otras marcas se han beneficiado). De hecho incluso han ayudado a hacer más seguras «otras plataformas que no son móviles».
Pero vamos a las cifras, que es lo que interesa. En su primer año de vida el VRP pagó en total 550.000 dólares (casi 489.000€) a 82 usuarios que reportaron fallos en Android que debían ser arreglados, con una media de 6.700$ (5.954€) por investigador y 2.200$ (1.954€) por recompensa. Quien más ganó fue el usuario @heisecode, que reportó 26 informes de vulnerabilidades y ganó unos espectaculares 75.750$ (67.305€) por su labor. Por debajo de este hubo 15 investigadores que cobraron 10.000 $ (8.864€) cada uno por su labor. Aunque el premio máximo, 30.000 dólares por descubrir una cadena ‘exploit’ remota que llevase a comprometer la seguridad en TrustZone o Verified Boot se quedó desierto, atestiguando también el empeño de sus creadores en hacerlos seguros.
Tarifas 2016-2017
Dado lo bien que fue el año pasado, y que ciertamente la medida parece funcionar, el programa Android de recompensas ha decidido aumentar la cantidad de dinero por encontrar exploits y vulnerabilidades:
- Un 33% más si reportamos un » informe de vulnerabilidad de alta calidad respaldado por una prueba», lo que por ejemplo puede subir la cantidad a percibir de 3.000$ a 4.000 dólares.
- Un 50% más ADICIONAL a la cantidad de antes si reportamos un informe de vulnerabilidad de alta calidad respaldado por una prueba, un test CST o acompañada de un parche que la solvente.
- Por un exploit kernel remoto o proximal, la recompensa de 20.000$ sube ahora a 30.000$
- Y si encontramos una cadena remota exploit o una serie de exploits que afecten a TrustZone o Verified Boot, los 30.000$ que se pagaban antes pasan a ser ahora 50.000$, casi 44.500 euros.
Si estáis interesados, aquí tenéis las Reglas del Programa para que les echéis un vistazo, además de esta web Bug Hunter University para «aprender a cómo enviar informes de calidad sobre vulnerabilidades».