Google pagará 1,5 milhão de dólares por bug de segurança no Pixel 3
Por Fidel Forato | 21 de Novembro de 2019 às 16h20
Já é conhecido o programa do Googlepara recompensas por bugs do Android, mas até então, o maior valor oferecido a quem descobrisse e divulgasse uma vulnerabilidade era de US$ 38.000 — equivalente a R$ 160.000. Valor bem distante da milionária recompensa recém-anunciada pelo Google, que bate US$ 1,5 milhão (R$ 6,3 milhões).
Normalmente, as recompensas por bugs são um meio de valorizar pesquisadores da área de segurança por encontrarem vulnerabilidades nos softwares. Elas podem vir como pagamentos em dinheiro, reconhecimento, oportunidades... Mas as empresas de tecnologia, que oferecem o prêmio, esperam mesmo que possam corrigir eventuais problemas e, assim, oferecer produtos mais seguros para seus usuários.
Gradualmente, os valores oferecidos foram se tornando cada vez maiores, à medida que o Android, em específico, cresceu com sua popularidade e mais pesquisadores de segurança se uniram na busca por vulnerabilidades. Foi assim que, nesta manhã de quinta (21), o Google resolveu mandar o valor lá para cima.
Este montante por uma única vulnerabilidade pode parecer muito. Para se ter uma ideia, a quantia é aproximadamente a mesma que o Google pagou por todas as outras recompensas de bugs nos últimos 12 meses, juntas. E neste ano, sua principal recompensa foi de US$ 161.337, ou seja: além de ser uma bolada e tanto, significa que vale a pena para a companhia investir na correção de um bug que, convenhamos, não é uma falha qualquer.
O que fazer para ganhar o prêmio?
Para essa nova categoria de recompensa, o Google está oferecendo o valor para quem puder comprometer o chip de segurança Titan M, encontrado em seus telefones Pixel. A busca é por uma “exploração de execução remota de código em cadeia completa com persistência” do chip de segurança. Ou seja: vai dar trabalho? Vai. É impossível? É isso que a companhia está literalmente pagando para ver.
O chip de segurança Titan M foi usado pela primeira vez com o Pixel 3, que retira os dados mais sensíveis do smartphone do processador principal para proteger contra certos ataques. Segundo a empresa, o trabalho desse chip é essencialmente supervisionar.
Dessa maneira, ele verifica as condições de inicialização, verifica assinaturas de firmware, lida com códigos de tela de bloqueio e tenta impedir que aplicativos mal-intencionados forcem o dispositivo a reverter para versões mais antigas e potencialmente vulneráveis do Android. O mesmo chip pode ser encontrado na linha Pixel 4.
Dada a gravidade potencial de uma invasão através do chip de segurança sobre o que deve ser a principal e mais eficiente forma de segurança do Android, esse pagamento milionário parece fazer muito sentido.
Fonte: TechCrunch