Hace un par de años, en una joven ActualApp te hablábamos de la recién estrenada Android Security Rewards, una nueva idea de Google para motivar a los usuarios a encontrar fallos de seguridad en el sistema operativo.
Según el grado del fallo encontrado se otorgaría una recompensa u otra, siempre monetaria. Ahora y a dos años de su estreno, Google ha hecho balance de las vulnerabilidades encontradas y del dinero repartido.
Google es mejor que la Ruleta de la Suerte: se han repartido 1,5 millones de dólares en total
Tal y como leemos en el blog de desarrolladores de Google, la plataforma Android Security Rewards ha sido todo un éxito, sobre todo en su segundo año.
Se han recibido alrededor de 450 avisos sobre vulnerabilidades y las recompensas han subido en un 52.3%. Así, el total de pagas que e han entregado se duplicó a 1.1 millones de dólares; el total desde que se lanzó el proyecto, más de 1.5 millones de dólares.
De igual forma, Google detalla los cuatro puntos clave del segundo año de Android Security Reward:
- Todavía no se ha entregado la recompensa máxima, que consiste en encontrar un fallo que permita el control remoto.
- Han pagado a 115 personas con una media de 2.150 dólares por recompensa, y 10.209 dólares por persona.
- El grupo C0RE Team se ha llevado 300.000 dólares por demostrar 118 agujeros de seguridad.
- Se les ha pagado 10.000 dólares o más a 31 usuarios.
Ahora bien, de cara al tercer año se han modificado algunos aspectos del programa.
Cambios en Android Security Rewards
A partir del 1 de junio, entran en juego los siguientes cambios:
Como cada versión de Android incluye más seguridad y ninguna persona ha sido capaz de encontrar la vulnerabilidad mejor pagada en dos años, se van a aumentar la recompensa de este tipo de fallos.
La recompensa por encontrar una cadena de exploits remota o exploits de TrustZone o Verified Boot, sube de 50.000 a 200.000 dólares.
La recompensa por encontrar un exploit en el kernel aumenta de 30.000 a 150.000 dólares.
La lista blanca de smartphones más seguros a día de hoy
Hace un tiempo que a Google se le viene pidiendo una “lista negra” de fabricantes que no lanzan las actualizaciones con los parches de seguridad mensuales.
Google, por su parte, no se ha querido mojar, por lo que ha hecho lo contrario; mostrar una lista con los smartphones que cuentan con las actualizaciones de seguridad de los últimos dos meses.
De entre los que encontramos en la tabla, destaca la Blackberry PRIV (que precisamente prometía seguridad), los Google Pixel y Nexus, los LG G6 y V20, los Moto Z, los principales Samsung Galaxy y los Sony Xperia X y XA.
La lista complleta la puedes encontrar en el enlace que te dejamos en la fuente, al final del post.
¿Qué te parece el Android Security Rewards? Lo que Google suelta como calderilla, nos puede venir de lujo a los meros mortales. Eso sí, primero hay que tener el conocimiento suficiente para encontrar este tipo de vulnerabilidades.
Fuente: Android Developers