Cómo ganar mucho dinero descubriendo fallos de seguridad en Android

Escrito por Cesar Otero
Android

El apoyo de la comunidad es en la actualidad un elemento clave que suelen usar empresas y estudios, máxime a la hora de probar software como juegos o sistemas operativos. Y recompensar a aquellos usuarios que dedican su tiempo es una forma de asegurarse tanto el compromiso de estos como el apoyo de otros nuevos. Si se te da bien este mundillo y eres bueno detectando fallos y otras anomalías en un software, presta atención, porque gracias al programa Android Security Rewards puedes ganar mucho dinero.

Programa de Recompensas

Fue hace un año cuando Google añadió este programa a su veterano Google Vulnerability Rewards Program, centrándose como objetivo primario en mejorar la seguridad de los dispositivos Nexus y la seguridad Android. Y en estos 12 meses se ha probado su efectividad a todos los niveles, ya que más del 25% de los fallos que fueron reportados sirvieron para mejorar el código que se suele usar fuera del Android Open Source Project, ayudando así a mejorar la seguridad en otros terminales del mercado y no solamente los Nexus (aunque el blog de Android no da pistas sobre qué otras marcas se han beneficiado). De hecho incluso han ayudado a hacer más seguras “otras plataformas que no son móviles”.

Tarifa de recompensas

Pero vamos a las cifras, que es lo que interesa. En su primer año de vida el VRP pagó en total 550.000 dólares (casi 489.000€) a 82 usuarios que reportaron fallos en Android que debían ser arreglados, con una media de 6.700$ (5.954€) por investigador y 2.200$ (1.954€) por recompensa. Quien más ganó fue el usuario @heisecode, que reportó 26 informes de vulnerabilidades y ganó unos espectaculares 75.750$ (67.305€) por su labor. Por debajo de este hubo 15 investigadores que cobraron 10.000 $ (8.864€) cada uno por su labor. Aunque el premio máximo, 30.000 dólares por descubrir una cadena ‘exploit’ remota que llevase a comprometer la seguridad en TrustZone o Verified Boot se quedó desierto, atestiguando también el empeño de sus creadores en hacerlos seguros.

Interfaz de instalación segura de apps

 

Tarifas 2016-2017

Dado lo bien que fue el año pasado, y que ciertamente la medida parece funcionar, el programa Android de recompensas ha decidido aumentar la cantidad de dinero por encontrar exploits y vulnerabilidades:

  • Un 33% más si reportamos un ” informe de vulnerabilidad de alta calidad respaldado por una prueba”, lo que por ejemplo puede subir la cantidad a percibir de 3.000$ a 4.000 dólares.
  • Un 50% más ADICIONAL a la cantidad de antes si reportamos un informe de vulnerabilidad de alta calidad respaldado por una prueba, un test CST o acompañada de un parche que la solvente.
  •  Por un exploit kernel remoto o proximal, la recompensa de 20.000$ sube ahora a 30.000$
  •  Y si encontramos una cadena remota exploit o una serie de exploits que afecten a TrustZone o Verified Boot, los 30.000$ que se pagaban antes pasan a ser ahora 50.000$, casi 44.500 euros.

Si estáis interesados, aquí tenéis las Reglas del Programa para que les echéis un vistazo, además de esta web Bug Hunter University para “aprender a cómo enviar informes de calidad sobre vulnerabilidades”.

Banner del blog

Fuente > Android Developers