Google estableció la semana pasada un nuevo nivel desafiante para los hackers que podría permitirles ganar una recompensa de hasta 1.5 millones de dólares.
A partir de hoy, Google pagará 1 millón de dólares por «una explotación de ejecución remota de código de cadena completa con persistencia que compromete el elemento seguro Titan M en dispositivos Pixel», dijo la compañía en su blog.
Además, si alguien logra lo mismo en las versiones de vista previa para desarrolladores de Android, Google pagará 500,000 dólares adicionales, lo que hace un total de 1.5 millones de dólares, lo que significa, 7.5 veces más que la recompensa superior anterior de Android.
Titan M es un chip de seguridad de Google introducido en los teléfonos inteligentes Pixel 3 el año pasado, se encuentra junto al procesador principal, diseñado principalmente para proteger los dispositivos contra los ataques durante el arranque.
Entonces, el chip Titan M es un componente de hardware separado del arranque verificado de Android, que también se ocupa de los datos confidenciales, la verificación de acceso de la pantalla de bloqueo, las políticas de restablecimiento de fábrica, las claves privadas, y también ofrece API segura para operaciones críticas como el pago en aplicaciones.
Por lo general, es difícil encontrar una cadena de explotación de ejecución remota de código con 1 clic en los dispositivos Pixel 3 y 4, y hasta ahora, solo un investigador de seguridad cibernética, Guang Gong de Qihoo 360, ha podido lograrlo.
«Guang Gong recibió $161,337 del programa Android Security Rewards y $40,000 del programa Chrome Rewards, por un total de $201,337. La recompensa combinada de $201,337 también es la recompensa más alta para una sola cadena de exploits en todos los programas VRP de Google», dijo la compañía.
Google también mencionó que la compañía ha pagado un total de 1.5 millones de dólares en 2019 como parte de su programa de recompensas por errores, con una recompensa promedio de más de 15 mil dólares por investigador de seguridad.
Además de los exploits de RCE para Pixel Titan M, Google también introdujo dos nuevas categorías de exploits en su programa de recompensas: la filtración de datos y las vulnerabilidades de omisión de la pantalla de bloqueo, que recompensará hasta 500 mil dólares por depender de la categoría de exploits.
El programa de recompensas de Android ampliado de Google se produjo más de dos meses luego de que el proveedor de exploits, Zerodium, anunciara que pagaría hasta 2.5 millones de dólares por 0-day «cadena completa, cero clic, con persistencia» de Android, que fue un salto directo de 12 veces respecto a su precio anterior de 200 mil dólares.
