Las fallas de seguridad en decenas, o incluso cientos, de aplicaciones para Android
disponibles en Play Store siguen siendo un serio inconveniente para
Google, desarrolladores y especialmente para los usuarios. Acorde a
especialistas en análisis de vulnerabilidades,
la compañía actualizará su programa de recompensas, conocido como
Google Play Security Reward Program (GPSRP), esperando reducir los
riesgos de seguridad para los usuarios.
La modificación más importante
que ha sufrido este programa es que ahora los investigadores podrán aspirar a
recibir recompensas por reportar las vulnerabilidades de seguridad en
aplicaciones desarrolladas por terceros ajenos a Google.
“El alcance de nuestro
programa de recompensas incrementará, pues ahora incluye todas las aplicaciones
disponibles en Google
Play Store que cuenten con al menos 100 millones de descargas”,
menciona Patrick Mutchler, experto en análisis de vulnerabilidades de Google.
“Los investigadores podrán recibir recompensas por sus informes sin importar
que los desarrolladores de las apps vulnerables no cuenten con un programa de
recompensas”, añadió.
Bajo los nuevos estándares de
Google, si un experto en análisis de vulnerabilidades descubre una falla de
seguridad en una aplicación que cumpla con los requerimientos mencionados
anteriormente, Google servirá como plataforma de divulgación responsable de la
vulnerabilidad, notificando a los desarrolladores y otorgando la recompensa a
los investigadores. Por otra parte, si los desarrolladores de las aplicaciones
vulnerables cuentan con un programa de divulgación de fallas, podrán aspirar a
cobrar la recompensa otorgada por los desarrolladores y Google entregará un
bono por el reporte.
Los principales beneficiarios de
esta decisión son los investigadores independientes, pues se les está ofreciendo
una forma fácil de acceder a recompensas por su trabajo; además, los
desarrolladores de apps populares pero que no cuentan con los recursos
suficientes para implementar programas de recompensas también experimentarán
los beneficios de la nueva política de Google.
Además de este anuncio, Google realizó
algunos cambios mínimos en los requisitos que un reporte debe cumplir para aspirar
a recibir una recompensa, especificando qué clase de fallas de seguridad
participan en el programa GPSRP:
- Vulnerabilidades de ejecución remota de código (RCE): Los investigadores deben comprobar que es posible ejecutar código ARM nativo en el dispositivo de la víctima sin su aprobación o consentimiento. Se ofrecen hasta 20 mil dólares por reportes de esta clase
- Robo o exposición de datos confidenciales: Se refiere al acceso no autorizado a la información personal de la víctima almacenada en su dispositivo móvil. Para recibir la recompensa, el investigador debe comprobar que es posible extraer información de un equipo con Android con las configuraciones de seguridad de fábrica. Google otorga recompensas de hasta 3 mil dólares por estas fallas
- Acceso a componentes de aplicaciones protegidos: Esta falla se presenta cuando uno de los componentes de una app procesa una Intent anterior desde otra app sin validar correctamente, provocando que la app objetivo realice una operación para la que la app de envío no tiene permisos. Estas fallas también son recompensadas con 3 mil dólares por Google
Especialistas en análisis de
vulnerabilidades del Instituto Internacional de Seguridad Cibernética (IICS)
consideran que al expandir este programa Google también intenta que los
desarrolladores se involucren en su método de reporte de vulnerabilidades en
lugar de hacer publicaciones de las fallas sin notificar a los desarrolladores,
pues la revelación al público de estas fallas en ocasiones resulta benéfica
para los actores de amenazas.
Fuente: https://noticiasseguridad.com/
No olvides Compartir...
No olvides Compartir...
Siguenos en twitter: @disoftin
0 Comentarios