Con su último anuncio para aumentar las recompensas por errores por encontrar y reportar vulnerabilidades críticas en el sistema operativo Android, Google estableció ayer un nuevo nivel desafiante para los piratas informáticos que podría permitirles ganar una recompensa de hasta $ 1.5 millones.

A partir de hoy, Google pagará $ 1 millón por un «exploit de ejecución remota de código de cadena completa con persistencia que compromete el elemento seguro Titan M en dispositivos Pixel», dijo el gigante tecnológico en una publicación de blog publicada el jueves.

Además, si alguien logra lograr lo mismo en las versiones preliminares para desarrolladores de Android, Google pagará $ 500,000 adicionales, haciendo un total de $ 1.5 millones, eso es 7.5 veces más que la recompensa superior anterior de Android.

Presentado en los teléfonos inteligentes Pixel 3 el año pasado, el elemento seguro Titan M de Google es un chip de seguridad dedicado que se encuentra junto al procesador principal, diseñado principalmente para proteger los dispositivos contra los ataques durante el arranque.

En otras palabras, el chip Titan M es un componente de hardware separado del Arranque verificado de Android que también se ocupa de los datos confidenciales, la verificación del código de acceso de la pantalla de bloqueo, las políticas de restablecimiento de fábrica, las claves privadas y también ofrece una API segura para operaciones críticas como pagos y aplicaciones. actas.

Teniendo esto en cuenta, suele ser difícil encontrar una cadena de exploits de ejecución remota de código con un solo clic en los dispositivos Pixel 3 y 4 y, hasta ahora, solo un investigador de ciberseguridad, Guang Gong de Qihoo 360, ha podido hacerlo.

«Guang Gong recibió $ 161,337 del programa Android Security Rewards y $ 40,000 del programa Chrome Rewards para un total de $ 201,337», dijo Google.

«La recompensa combinada de $ 201,337 también es la recompensa más alta para una sola cadena de explotación en todos los programas de Google VRP».

Además, Google también dijo que la compañía pagó un total de $ 1.5 millones en 2019 como parte de su programa de recompensas por errores, con una recompensa promedio de más de $ 15,000 por investigador de seguridad.

Además de los exploits RCE para Pixel Titan M, Google también ha introducido dos nuevas categorías de exploits en su programa de recompensas: exfiltración de datos y vulnerabilidades de omisión de pantalla de bloqueo, que recompensarán hasta $ 500,000 según la categoría de exploit.

El programa ampliado de recompensas de Android de Google se produjo más de dos meses después de que el proveedor de exploits de terceros Zerodium anunciara que pagaría hasta 2,5 millones de dólares por los días cero de Android de «cadena completa, clic cero y persistencia», lo que supuso un salto directo de 12 veces desde su anterior precio de venta de $ 200.000.