Google aumenta recompensas para quem achar vulnerabilidades no Chrome
Por Guilherme Haas |
O Google anunciou um aumento nas recompensas oferecidas em seu programa de vulnerabilidades do Chrome, o Chrome Vulnerability Reward Program (VRP), que agora pode pagar até US$ 250 mil (cerca de R$ 1,4 milhão) para pesquisadores que encontrarem falhas críticas. O anúncio coincide com o 16º aniversário do navegador e o 14º aniversário do programa de recompensas.
- Clique e siga o Canaltech no WhatsApp
- TikTok Lite encerra programa de recompensas para cumprir lei europeia
O principal foco dessa atualização está na reestruturação das categorias de vulnerabilidades relacionadas à corrupção de memória, com o objetivo de incentivar pesquisas mais aprofundadas e relatórios de maior qualidade.
Aumentos no programa de recompensas
As recompensas variam de acordo com a complexidade e o impacto da falha reportada, sendo que as falhas que demonstram execução remota de código (RCE) em processos não isolados são as que oferecem os maiores valores.
"A maior recompensa para um único problema agora é de US$ 250 mil para uma execução remota de código (RCE) demonstrada em um processo não isolado (que não seja realizado em sandbox)", afirma a engenheira de segurança da informação Amy Ressler no comunicado.
Além das falhas de corrupção de memória, o Google também ajustou os valores das recompensas para outras categorias de vulnerabilidades, que agora podem variar de US$ 1 mil a US$ 30 mil, dependendo do impacto e do potencial de exploração da falha identificada.
O Google também atualizou a recompensa para vulnerabilidades que contornem o MiraclePtr, uma tecnologia desenvolvida para proteger o Chrome contra falhas de corrupção de memória. O MiraclePtr dificulta a exploração dessas vulnerabilidades ao proteger áreas críticas da memória. Com as novas atualizações, qualquer método que consiga contornar essa barreira de segurança pode render uma recompensa de até US$ 250.128.
A Big Tech reforça que relatórios que não demonstrarem impacto de segurança ou potencial de danos para os usuários, ou que tratem apenas de questões teóricas, provavelmente não serão elegíveis para recompensas no programa.
O Google declarou ainda que continuará "explorando mais oportunidades de recompensas experimentais e desenvolvendo o programa para melhor atender à comunidade de segurança".
Conheça também o programa de recompensas da Samsung, que paga até US$ 1 milhão para quem achar falhas de segurança em celulares.