Google paga US$ 15 mil à Apple por “hackear” o Chrome
Por Felipe Demartini • Editado por Wallace Moté |
O Google pagou a quantia de US$ 15 mil, cerca de R$ 73 mil em conversão direta, à Apple pela descoberta de uma vulnerabilidade de segurança crítica no Chrome. Os pesquisadores em segurança da Maçã foram os responsáveis pela localização de uma brecha que poderia possibilitar o comprometimento de aparelhos a partir de sites maliciosos.
- Participantes de bug bounty podem faturar até R$ 120 mil em menos de um ano
- Microsoft usa parcerias e programas bug bounty como chave para maior segurança
Ao hackear o Chrome, os especialistas da empresa de Cupertino encontraram uma falha que possibilitava a escrita de dados fora dos limites delimitados na memória do dispositivo. A CVE-2023-4072, como foi catalogada, aparecia especificamente em uma interface de programação JavaScript chamada WebGL, usada pelo Chrome para a exibição de conteúdos gráficos nos sites da internet.
A descoberta foi feita pelo time de Arquitetura e Engenharia de Segurança da Apple (SEAR, na sigla em inglês), voltado justamente para analisar softwares e sistemas que funcionam nos produtos da Apple. A recompensa fez parte do programa de bug bounty do Google, voltado justamente para pagar especialistas que indicarem vulnerabilidades e ajudarem a ampliar a proteção de seus serviços.
O valor é significativo, o que também dá uma indicação da criticidade da falha, cuja correção já está disponível para o Chrome no iOS e também em computadores com Windows. De acordo com o Google, não existem indícios de exploração cibercriminosa da brecha, mas maiores detalhes sobre ela não foram divulgados, justamente para garantir que a situação permaneça como tal enquanto os usuários aplicam a atualização, liberada na última semana.
Sabemos apenas que a brecha é capaz de comprometer a confidencialidade das informações contidas em um aparelho vulnerável, além de seu próprio funcionamento. Além disso, para funcionar, ela exige interação pelo usuário, com os cibercriminosos o induzindo a acessar um site malicioso a partir de um link de phishing, principal vetor de explorações dessa categoria.
Atualização distribuiu mais de US$ 100 mil em recompensas
O valor pago pelo Google à Apple parece alto, mas nem mesmo foi o maior entregue pela gigante a pesquisadores em segurança. A companhia distribuiu um total de US$ 123 mil, ou cerca de R$ 600 mil, a especialistas pela descoberta de falhas de segurança críticas que foram resolvidas com a mais recente atualização do Chrome.
Apenas um pesquisador, que foi creditado apenas como Jerry, recebeu US$ 43 mil, ou cerca de R$ 211 mil. Ele foi o responsável pela localização de duas brechas de confusão de tipo em um motor JavaScript do navegador, uma categoria de ameaças que é resultado de um erro na lógica de programação. Também por indicar uma falha semelhante, o especialista Man Yue Mo, do time de segurança do GitHub, recebeu uma recompensa de US$ 21 mil, aproximadamente R$ 103 mil.
A recompensa de US$ 15 mil paga pelo Google à Apple é somente a quarta maior da mais recente atualização. Enquanto dados deste ano ainda não foram disponibilizados, ao longo de 2022, a gigante distribuiu mais de US$ 12 milhões em recompensas a especialistas em segurança digital pela descoberta de falhas de segurança em seus diferentes produtos e serviços; o maior total, US$ 4,8 milhões, mais de R$ 20 milhões, está relacionado ao Android.
Fonte: Google